Beosin: Un breve análisis del ataque al proyecto sDAO

[Beosin: breve análisis del ataque al proyecto sDAO] Jinse Finance informó que, de acuerdo con el monitoreo de riesgos de seguridad Beosin EagleEye, la alerta temprana y el monitoreo de la plataforma de bloqueo de la empresa de auditoría de seguridad blockchain Beosin, el proyecto sDAO en la cadena BNB fue atacado por una vulnerabilidad, Análisis de Beosin Se encuentra que, debido al error de lógica comercial del contrato sDAO, la función getReward se calcula en función de los tokens LP que posee el contrato y los tokens LP agregados por el usuario como parámetros. El número de tokens LP está correlacionado negativamente. , pero el contrato proporciona un método de retirada de equipo que puede enviar todos los BNB y los tokens especificados que pertenecen al contrato a la dirección especificada del contrato Cualquier persona puede llamar a esta función. Esta vez, después de que el atacante le agregó tokens LP, llamó a la función de retiro del equipo para enviar todos los tokens LP a la dirección especificada e inmediatamente transfirió una cantidad muy pequeña de tokens LP al contrato, lo que provocó que el atacante llamara Cuando getReward obtiene recompensas , el número total de tokens LP en el contrato utilizado es un valor muy pequeño, lo que hace que las recompensas se amplíen de manera anormal. Al final, la recompensa obtenida por el atacante a través de esta vulnerabilidad se convirtió en 13.662 BUSD y salió del mercado. Beosin Trace descubrió que el monto robado todavía está en la cuenta del atacante y continuará prestando atención a la dirección de los fondos.

Otras noticias:

Beosin: los piratas informáticos de FTX limpiaron una vez más algunos de los activos robados, alrededor de $ 8,3 millones: Jinse Finance informó que, según el monitoreo de Beosin EagleEye, la plataforma de monitoreo de riesgos de seguridad, alerta temprana y bloqueo de la empresa de auditoría de seguridad blockchain Beosin, a partir del 17 de noviembre, Hora de Beijing A las 11:00, el pirata informático FTX limpió nuevamente algunos de los activos robados.En el incidente del ataque FTX, el pirata informático (la dirección en la cadena está marcada como FTX Accounts Drainer) transfirió 6868 activos ETH a Ethereum desde la cadena Binance a través de Intercambio de cadena cruzada, alrededor de 8,3 millones de dólares estadounidenses, Beosin Trace continúa monitoreando la dirección negra. [2022/11/17 13:16:04]

Dinámico | Advertencia de Beosin: manténgase alerta contra ataques estatales de falla dura: advertencia de Beosin (Chengdu Lianan), según la detección del sistema de conciencia situacional de seguridad de la cadena de bloques de Chengdu Lianan Beosin-Eagle Eye, todavía hay muchos atacantes que intentan usar ataques de estado de falla dura, el objetivo de la prueba de ataque se ha desplazado del intercambio a varios contratos de juegos. A partir de las 10:00 p. memorándum, si la parte del proyecto no hace un juicio completo de la transacción al obtener los datos de la transacción del nodo, puede causar pérdidas. Aunque este intento de ataque es simple, aún puede causar daño. Verifique y autoverifique para verificar el estado de la transacción ejecución para evitar pérdidas innecesarias. [2019/4/9]

Voz | Alerta temprana de Beosin (Chengdu Lianan): un juego de preguntas de EOS sufrió un ataque y perdió más de 1200 EOS: según la detección de Beosin-Eagle Eye, el sistema de conocimiento de la situación de seguridad de blockchain de Chengdu Lianan, a partir de las 8:53: El 15 de esta mañana, el hacker yunmen**** lanzó un ataque contra el juego de preguntas EOS th****sgames. A partir de ahora, el hacker ha ganado más de 1200 EOS. Beosin sugirió que la parte del proyecto del juego debe fortalecer el trabajo de operación y mantenimiento del proyecto, verificar la seguridad del proyecto lo antes posible después de recibir el recordatorio de seguridad de la compañía de seguridad, para detener las pérdidas a tiempo, y también pidió a los desarrolladores del proyecto que presten atención a el rigor de la lógica del juego y la seguridad del código. Beosin recuerda a las partes de proyectos similares que hagan un buen trabajo en las auditorías de seguridad de contratos en todos los aspectos y fortalezcan las estrategias de control de riesgos. Si es necesario, pueden comunicarse con un equipo de auditoría profesional de terceros para realizar una auditoría de seguridad de código integral antes de ir a la cadena para evitar problemas antes de que sucedan. [2019/4/3]