BER:安全團隊：Flurry Finance攻擊事件利用了RhoToken代幣的rebase機制

Cobo區塊鏈安全團隊就FlurryFinance攻擊事件進行了分析，發現此次攻擊與經典的閃電貸操縱預言機的攻擊手段不同，而是利用了FlurryFinance中RhoToken代幣的rebase機制。漏洞的本質原因在于協議對RhoToken進行rebase時計算multiplier的公式中依賴于外部可控的數據。從而使攻擊者通過閃電貸的方式實現了對multiplier的操縱，進而獲利。雖然本次攻擊中使用到了偽造ERC20重寫approve方法再利用RabbitFinance的StrategyLiquidate合約來執行任意代碼的技巧，但這個技巧涉及到的合約代碼本身其實并不存在安全問題。

安全團隊：BNB Chain上的代幣BRA價格歸零，或因代幣異常超發所致:1月10日消息，據Fairyproof監測系統顯示，BNB Chain上的代幣 BRA價格歸零。

根據Fairyproof分析，該代幣在交易時會被征稅，所征的稅費會被直接發送至進入交易對，并且稅費被添加了兩次。在這種機制下，經過多次這樣的交易后，交易對中的代幣持續增加。與此同時任何用戶都可以調用skim函數取出交易對中多余的代幣，這導致了代幣的實際數量進而超過其發行上限。

可能的攻擊流程為：1、閃電貸借錢， 2 、買光池子代幣 ，3 、將買的代幣轉入池子 ，4、調用 skim 函數，指定接收地址為交易對，利用漏洞增發， 5、 重復第4步， 6、最后skim 指定接收地址為自己，得到所有代幣， 7 、將代幣兌換回其它資產，歸還閃電貸。

Fairyproof提醒所有項目方：項目部署前要仔細做好代碼審計，用戶在投資代幣前要仔細閱讀項目的審計報告。[2023/1/10 11:04:18]

Cobo區塊鏈安全團隊提醒，開發者在進行項目開發時需要特別注意合約在計算資產數量、價格時是否有依賴外部某些可能被惡意操縱的數據。閃電貸操縱預言機的典型攻擊模式其實也是項目中依賴于DEX池內代幣價格進行了內部某些關鍵指標的計算導致的。

安全團隊：NFT項目POUR KOKO的Discord被入侵:9月17日消息，CertiK監測顯示，NFT項目POUR KOKO的官方Discord被入侵，并在項目公告中發布了一個釣魚鏈接，用戶不要點擊。[2022/9/17 7:03:29]

此前消息，2月22日，BSC鏈上的FlurryFinance遭到閃電貸攻擊，導致協議中Vault合約中價值數十萬美元的資產被盜。

趙長鵬：幣安安全團隊已確定兩名攻擊 KyberSwap 的嫌疑人:金色財經消息，幣安創始人趙長鵬在 Twitter 上表示，幣安安全團隊已確定了兩名攻擊 KyberSwap 的嫌疑人，目前已將信息提供給了 Kyber Network 團隊并正在與執法部門進行協調。

昨日報道，KyberNetwork遭遇前端攻擊，損失約26.5萬枚amUSDC。[2022/9/3 13:06:54]

來源鏈接

Tags：FINANCFINABERTopshelf FinanceGOMA FinanceArvo FinanceLIBERO

SHIB