CELO:Beosin：獲利約 900 萬美元，Moola 協議遭受黑客攻擊事件簡析

據BeosinEagleEyeWeb3安全預警與監控平臺監測顯示，Celo上的Moola協議遭受攻擊，黑客獲利約900萬美元。Beosin安全團隊第一時間對事件進行分析，結果如下：

Beosin：Ara項目被攻擊的根本原因是合約中處理權限存在漏洞:6月19日消息，Beosin Alert發推稱，Ara項目被攻擊的根本原因是合約中處理權限存在漏洞。0xB817開頭地址批準了大量ARA與USDT交換合約，它沒有限制從調用者轉移的用于交換的資金。[2023/6/19 21:46:59]

第一步：攻擊者進行了多筆交易，用CELO買入MOO,攻擊者起始資金.第二步：攻擊者使用MOO作為抵押品借出CELO。根據抵押借貸的常見邏輯，攻擊者抵押了價值a的MOO，可借出價值b的CELO。第三步：攻擊者用貸出的CELO購買MOO，從而繼續提高MOO的價格。每次交換之后，Moo對應CELO的價格變高。第四步：由于抵押借貸合約在借出時會使用交易對中的實時價格進行判斷，導致用戶之前的借貸數量，并未達到價值b，所以用戶可以繼續借出CELO。通過不斷重復這個過程，攻擊者把MOO的價格從0.02CELO提高到0.73CELO。第五步：攻擊者進行累計4次抵押MOO，10次swap，28次借貸，達到獲利過程。

Beosin已完成對永久通縮協議Mimosa代碼審計:12月28日消息。據官方通告，區塊鏈安全公司Beosin（LianAnTech）宣布已完成對永久通縮協議Mimosa的審計工作，審計項包括協議安全性評估、代碼漏洞審查等，確認了MIMO在以太坊鏈上傳輸，通過扣除轉賬手續費的形式進行代幣銷毀，手續費比例可在有效范圍0-100%內修改，當手續費比例為100%時轉賬數量全部銷毀；目前手續費為默認5%。[2020/12/28 15:54:14]

本次遭受攻擊的抵押借貸實現合約并未開源，根據攻擊特征可以猜測攻擊屬于價格操縱攻擊。截止發文時，通過BeosinTrace追蹤發現攻擊者將約93.1%的所得資金返還給了MoolaMarket項目方，將50萬CELO?捐給了impactmarket。自己留下了總計65萬個CELO作為賞金。

聲音 | Beosin（成都鏈安）預警：某EOS競猜類游戲遭受攻擊 損失超1200枚EOS:根據成都鏈安區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現，今日上午 8:53:15開始，黑客yunmen****對EOS競猜類游戲th****sgames發起攻擊。截止到現在，該黑客已經獲利超過1200枚EOS。Beosin建議游戲項目方應該加強項目運維工作，在收到安全公司的安全提醒之后第一時間排查項目安全性，才能及時止損，同時也呼吁項目開發者應該重視游戲邏輯嚴謹性及代碼安全性。Beosin提醒類似項目方全方面做好合約安全審計并加強風控策略，必要時可聯系第三方專業審計團隊，在上鏈前進行完善的代碼安全審計，防患于未然。[2019/4/3]

Tags：EOSCELSINCELOEOS Se7ensCEL價格Casino CoinCelo Euro

非小號