安全團隊：Flurry Finance攻擊事件利用了RhoToken代幣的rebase機制_EOS:Big Finance

Cobo區塊鏈安全團隊就FlurryFinance攻擊事件進行了分析，發現此次攻擊與經典的閃電貸操縱預言機的攻擊手段不同，而是利用了FlurryFinance中RhoToken代幣的rebase機制。漏洞的本質原因在于協議對RhoToken進行rebase時計算multiplier的公式中依賴于外部可控的數據。從而使攻擊者通過閃電貸的方式實現了對multiplier的操縱，進而獲利。雖然本次攻擊中使用到了偽造ERC20重寫approve方法再利用RabbitFinance的StrategyLiquidate合約來執行任意代碼的技巧，但這個技巧涉及到的合約代碼本身其實并不存在安全問題。

安全團隊：項目Victor the Fortune遭閃電貸攻擊，攻擊者已獲利約5.8萬美元:10月27日消息，據CertiK監測顯示，項目Victor the Fortune遭閃電貸攻擊，攻擊者已獲利約5.8萬美元，耗盡了流動資金池。提醒用戶保持警惕。[2022/10/27 11:49:21]

Cobo區塊鏈安全團隊提醒，開發者在進行項目開發時需要特別注意合約在計算資產數量、價格時是否有依賴外部某些可能被惡意操縱的數據。閃電貸操縱預言機的典型攻擊模式其實也是項目中依賴于DEX池內代幣價格進行了內部某些關鍵指標的計算導致的。

安全團隊：BSC Token Hub被盜資金總計有1億4357萬美元通過跨鏈進行轉移:10月7日消息，據Beosin EagleEye平臺監測顯示，BSC Token Hub10月7日遭遇黑客攻擊，Beosin安全團隊通過Beosin Trace對被盜資金進行追蹤分析，得到資金流向最新進展如圖所示。

此外，據Beosin安全團隊統計，總計有1億4357萬美元的被盜資金通過跨鏈進行轉移（含借貸）。通過跨鏈轉移的資金約被盜資金中有7739W美元的資金通過各種跨鏈轉入了以太坊，5896W美元的資金留存在FTM鏈中（含各種gUSDT），400W美元的資金在Arbitrum鏈中，172W美元的資金在Avalanche鏈中，40W美元的資金在Polygon和110W美元在Optimism。[2022/10/7 18:41:46]

此前消息，2月22日，BSC鏈上的FlurryFinance遭到閃電貸攻擊，導致協議中Vault合約中價值數十萬美元的資產被盜。

動態 | 慢霧安全團隊剖析EOS 合約競猜類游戲 FFgame 被攻擊事件:據慢霧安全團隊消息，針對 EOS 合約競猜類游戲 FFgame 被攻擊事件的剖析，慢霧安全團隊通過與 FIBOS 創始人響馬的交流及復測推測：攻擊者通過部署攻擊合約并且在合約中使用與 FFgame 相同算法計算隨機數，產生隨機數后立即在 inline_action 中使用隨機數攻擊合約，導致中獎結果被“預測”到，從而達到超高中獎率。該攻擊者從第一次出現盜幣就已經被慢霧監控賬戶變動，在今日凌晨（11.8 號）已經第一時間將威脅情報同步給相關交易所平臺。

慢霧安全團隊提醒類似開發者：不要引入可控或可預測隨機數種子，任何僥幸都不應該存在。[2018/11/8]

來源鏈接

Tags：EOSANCTOKESINLEOS價格Big FinanceHuobi Vitamin Tokensinoc幣最新價格

BTC