Beosin：BSC Token Hub 用于驗證 IAVL 樹的方式存在漏洞，允許攻擊者偽造信息_EOS:SIN

ForesightNews消息，據BeosinEagleEye平臺監測顯示，BSCTokenHub10月7日遭遇黑客攻擊，Beosin安全團隊現將手法解析如下：幣安跨鏈橋BSCTokenHub在進行跨鏈交易驗證時，使用了一個特殊的預編譯合約用于驗證IAVL樹。而該實現方式存在漏洞，該漏洞可能允許攻擊者偽造任意消息。1）攻擊者先選取一個提交成功的區塊的哈希值2）然后構造一個攻擊載荷，作為驗證IAVL樹上的葉子節點3）在IAVL樹上添加一個任意的新葉子節點4）同時，添加一個空白內部節點以滿足實現證明5）調整第3步中添加的葉子節點，使得計算的根哈希等于第1步中選取的提交成功的正確根哈希6）最終構造出該特定區塊的提款證明據Beosin安全團隊統計，總計有1.435億美元的被盜資金通過跨鏈進行轉移，通過跨鏈轉移的資金約被盜資金中有7739萬美元的資金通過各種跨鏈轉入了以太坊，5896萬美元的資金留存在FTM鏈中，400萬美元的資金在Arbitrum鏈中，172萬美元的資金在Avalanche鏈中，40萬美元的資金在Polygon和110萬美元在Optimism。BeosinTrace正在對被盜資金進行實時追蹤。

Beosin：BASE鏈上LeetSwap中axlUSD/WETH池子遭遇價格操控攻擊分析:金色財經報道，Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，BASE鏈上LeetSwap中axlUSD/WETH遭遇價格操控攻擊，損失金額約62萬美元。經Beosin分析攻擊的主要原因是：攻擊主要利用了pair合約中的_transferFeesSupportingTaxTokens函數，它允許任意人使用函數讓pair合約中的axlUSD轉移，導致代幣價格上升，攻擊者可以賣出代幣進行獲利。[2023/8/1 16:11:02]

Beosin：EthTeamFinance項目遭受到了漏洞攻擊事件簡析:據Beosin EagleEye 安全預警與監控平臺檢測顯示，ETH鏈上的EthTeamFinance項目遭受漏洞攻擊，攻擊合約0xCFF07C4e6aa9E2fEc04DAaF5f41d1b10f3adAdF4通過LockToken合約的migrate函數沒有正確驗證_id和params的漏洞，將WTH，CAW，USDC，TSUKA代幣從V2流動性池非法升級到V3流動性池，并且通過sqrtPriceX96打亂V3流動池的Initialize的價格，從而獲取大量refund套利。共計套利了約1300多萬美元。[2022/10/27 11:49:12]

動態 | BEOS 技術白皮書發布:據引力觀察報消息，BM父親 Stan Larimer 發起的區塊鏈項目 BEOS 的技術白皮書于3天前發布。BEOS是一條中間鏈，用于比特股和EOS主網之間產生交互，帶來更大的EOS生態。[2019/2/2]

Tags：EOSSINETHLEEEOSPackSINUNetherLEEK幣

DYDX