據BeosinEagleEyeWeb3安全預警與監控平臺檢測顯示,PLTD項目遭受黑客攻擊,其交易池中的所有BUSD被全部兌空,攻擊者共獲利24,497枚BUSD。經過Beosin安全團隊分析,本次攻擊主要是利用了PLTD合約中的代碼漏洞,通過閃電貸攻擊將Cake-LP(0x4397c7)中的PLTD代幣余額降為1,然后用手中的PLTD將所有的BUSD全部兌換到攻擊合約中。具體細節如下:
第一步:攻擊者通過DODO協議的閃電貸發起了2次閃電貸借貸,同借貸66.6萬BUSD,作為攻擊準備金;第二步:攻擊者將66.6萬的BUSD全部兌換為157萬的PLTD代幣,此時,攻擊者手中已經持有的大量的PLTD代幣,后續將利用這些代幣達到操控Cake-LP中的PLTD代幣余額的目的;第三步:攻擊者查詢當前的bron值與Cake-LP的PLTD余額,這是在做攻擊前的檢查,注意這兩個值很關鍵,關系到攻擊的成敗;第四步:攻擊者直接向Cake-LP(0x4397c7)發送了11.6萬的PLTD代幣,注意,這個數量剛剛是上一步中Cake-LP中的PLTD代幣余額的兩倍減去1。第五步:攻擊者使用skim將第四步多轉入的PLTD取回,由于PLTD合約的transfer函數中,如果from地址是uniswapV2Pair,那么將會調用_tokenTransferBuy。第六步:前面所有的操作都是為了這一步做準備。這一步,攻擊者向0x16b9a82891338f9ba80e2d6970fdda79d1eb0dae這個地址轉入1PLTD,由于這個地址不是Cake-LP的地址,這次轉賬調用的內部函數是_tokenTransfer這個內部函數,問題代碼在第451行到456行,由于第四步中,將_bron設置為了Cake-LP的余額減去1,并且在第五步恢復了Cake-LP的余額,這一步直接將Cake-LP的余額減至1(這里略去了通縮分紅型代幣的tAmount與rAmount轉換,這個轉換在本次攻擊中并不重要),然后再調用Cake-LP的sync函數,將余額同步為reserve。第七步:攻擊者將手中的所有PLTD代幣,全部兌換為BUSD,幾乎掏空了Cake-LP的全部BUSD余額,攻擊者獲得了69萬的BUSD。并將其中的66.6萬BUSD歸還閃電貸,剩余為本次攻擊獲利24,497BUSD,并全部轉入了0x083c057221e95D45655489Fb01b05C4806387C19地址,截止發文時,該資金未進行轉移。
安全團隊:SwapX漏洞總共損失了約100萬美元:金色財經報道,據CertiK監測,SwapX漏洞總共損失了約100萬美元。CeritK安全專家總共發現了四個與該漏洞相關的外部賬戶EOA。目前攻擊者已獲利313,000美元,請用戶保持警惕。[2023/2/28 12:32:55]
針對本次攻擊事件,Beosin安全團隊提出以下建議:1.在合約上線之前,項目方應尋找第三方安全公司進行完整的安全審計;2.在代幣合約中,直接操作Pair的代幣余額是非常危險的行為,建議項目方如非必要,千萬不要進行此操作。
安全團隊:Vitalik出售25萬億枚SHIT幣,價值約33000美元:金色財經消息,據派盾(PeckShield)監測數據顯示,Vitalik.eth的地址0xd8da6b...7aa96045顯示,25萬億枚SHIT幣在Uniswap上被出售,價值約33000美元。[2022/8/4 12:01:49]
攻擊交易:0x8385625e9d8011f4ad5d023d64dc7985f0315b6a4be37424c7212fe4c10dafe0,
安全團隊:HacktivistNFT的discord遭投放假mint鏈接:5月11日消息,BlockSec告警系統于5月11日上午11點40分發現HacktivistNFT項目的discord官方公告正在擴散虛假mint鏈接,請投資者注意,不要點擊虛假mint鏈接。[2022/5/11 3:06:19]
攻擊者地址:0x6ded5927f2408a8d115da389b3fe538990e93c5b
Tags:PLTCAKEBUSDUSDYPLT價格CheesecakeSwap TokenBUSD BuffetTUSD價格
據TheBlock報道,FTX昨日已向法院請求由BitGo在FTX破產期間保管其剩余的數字資產,FTX告訴法庭,它對持續的網絡威脅和盜竊感到擔憂.
1900/1/1 0:00:00Lookonchain數據顯示,昨日ImmutableX代幣解鎖2.37億枚,其中1.09億枚IMX轉至7個地址.
1900/1/1 0:00:00據Calcalistech報道,Web3數字初創公司Yoom宣布完成1500萬美元新一輪融資,InterscopeRecords和BeatsElectronics聯合創始人JimmyIovine.
1900/1/1 0:00:00據CoinDesk報道,德國金融監管機構在對Coinbase的德國字公司的財務報表進行審計時發現存在“組織缺陷”,要求其確保實施有效的風險管理和內部控制措施.
1900/1/1 0:00:00據TheBlock記者FrankChaparro的推文,DCG首席執行官BarrySilbert在給股東的信息中表示:“在過去的一周里,有很多噪音,我想直接聯系股東以澄清我們在DCG的立場.
1900/1/1 0:00:00據TheBlock報道,由BinanceLabs前高管NicoleZhang領導的新Web3基金LingfengInnovationFund已籌集2000萬美元資金.
1900/1/1 0:00:00