Beosin: Un breve análisis del ataque al proyecto sDAO

[Beosin: breve análisis del ataque al proyecto sDAO] Jinse Finance informó que, de acuerdo con el monitoreo de riesgos de seguridad Beosin EagleEye, la alerta temprana y el monitoreo de la plataforma de bloqueo de la empresa de auditoría de seguridad blockchain Beosin, el proyecto sDAO en la cadena BNB fue atacado por una vulnerabilidad, Análisis de Beosin Se encuentra que, debido al error de lógica comercial del contrato sDAO, la función getReward se calcula en función de los tokens LP que posee el contrato y los tokens LP agregados por el usuario como parámetros. El número de tokens LP está correlacionado negativamente. , pero el contrato proporciona un método de retirada de equipo que puede enviar todos los BNB y los tokens especificados que pertenecen al contrato a la dirección especificada del contrato Cualquier persona puede llamar a esta función. Esta vez, después de que el atacante le agregó tokens LP, llamó a la función de retiro del equipo para enviar todos los tokens LP a la dirección especificada e inmediatamente transfirió una cantidad muy pequeña de tokens LP al contrato, lo que provocó que el atacante llamara Cuando getReward obtiene recompensas , el número total de tokens LP en el contrato utilizado es un valor muy pequeño, lo que hace que las recompensas se amplíen de manera anormal. Al final, la recompensa obtenida por el atacante a través de esta vulnerabilidad se convirtió en 13.662 BUSD y salió del mercado. Beosin Trace descubrió que el monto robado todavía está en la cuenta del atacante y continuará prestando atención a la dirección de los fondos.

Otras noticias:

Beosin: La pérdida total de incidentes de seguridad ecológica de blockchain en octubre fue de aproximadamente 981,04 millones de dólares estadounidenses: Jinse Finance informó que, según el monitoreo de la plataforma de monitoreo y alerta temprana de seguridad Beosin EagleEye, en octubre de 2022, la cantidad de varios incidentes de seguridad y el la cantidad involucrada fue superior a 9 meses aumentó considerablemente. En octubre, hubo más de 25 incidentes de seguridad típicos, entre los cuales la pérdida total de incidentes de seguridad de ataques fue de aproximadamente 981,04 millones de dólares estadounidenses, que fue aproximadamente 5,97 veces la pérdida en septiembre. Octubre es el mes con mayor cantidad de pérdidas en el campo blockchain desde 2022, y el 60% de los ataques provino de la explotación de vulnerabilidades de contratos. [2022/10/31 12:01:06]

Beosin: el proyecto Rabby fue pirateado, lo que implica una cantidad de alrededor de 200,000 dólares estadounidenses: Jinse Finance informó que, según Beosin EagleEye Web3, alerta temprana de seguridad y monitoreo de la plataforma de monitoreo, el proyecto Rabby fue pirateado. Debido a que existe una llamada externa a la función _swap de RabbyRouter, cualquiera puede llamar a esta función para transferir los fondos del usuario autorizado del contrato. En la actualidad, los atacantes han lanzado ataques a Ethereum, cadena BSC, polígono, avax, Fantom, optimista y Arbitrum, cancele la autorización del contrato correspondiente. Este es el contrato en cuestión:

Dirección del contrato BSC: 0xf756a77e74954c89351c12da24c84d3c206e5355,

Dirección del contrato de Ethereum: 0x6eb211caf6d304a76efe37d9abdfaddc2d4363d1,

Dirección de contrato optimista: 0xda10009cbd5d07dd0cecc66161fc93d7c9000da1,

Dirección del contrato Avax: 0x509f49ad29d52bfaacac73245ee72c59171346a8,

Dirección del contrato Fantom: 0x3422656fb4bb0c6b43b4bf65ea174d5b5ebc4a39,

Dirección del contrato de arbitraje: 0xf401c6373a63c7a2ddf88d704650773232cea391,

El equipo de seguridad de Beosin analizó y encontró que el atacante (0xb687550842a24D7FBC6Aad238fd7E0687eD59d55) había intercambiado todos los tokens obtenidos por la moneda de la plataforma correspondiente, y todos los fondos robados se transfirieron a Tornado Cash. Beosin Trace hará un seguimiento de los fondos robados. [2022/10/12 10:31:31]

Noticias | Advertencia de Beosin: Cubecontract ha sido atacado y el atacante ha obtenido ganancias: advertencia de Beosin (Chengdu Lianan), entre las 14:46 y las 14:51 de esta tarde, según la detección de Beosin-Eagle Eye, un conocimiento de la situación de seguridad de blockchain sistema en Chengdu Lianan Se descubrió que el pirata informático justjiezhan1 lanzó un ataque contra el cubocontract del juego de preguntas EOS y ya obtuvo ganancias. Antes de esto, el hacker justjiezhan1 había comenzado a implementar el contrato de ataque alrededor de las 12:00: 41. Según el análisis preliminar de los analistas de seguridad de Chengdu Chain Security, el atacante sigue siendo el mismo que el método de ataque anterior, que es un ataque de bloqueo de transacciones. Aquí sugerimos que los desarrolladores de contratos de juegos presten atención al rigor de la lógica del juego y la seguridad del código. Al mismo tiempo, hacemos un llamado a la parte del proyecto del juego para que realice una auditoría integral de seguridad del código antes de lanzar el proyecto. Si es necesario, el poder de un equipo de auditoría profesional de terceros se puede utilizar para evitar problemas. Todavía no. [2019/3/18]