安全团队：ShadowFi未定义合理访问控制，遭攻击者利用

据官方消息，9月2日，HyperLab安全团队在BSC链上检测到ShadowFi Token贬值事件。攻击者将10,354,936.721195451 SDF token销毁，随后将 8.461538282 SDF换成约合$30万BNB资产。

团队分析称，从交易细节可得，攻击者在交易中调用burnTokens()函数烧掉了SDF，而ShadowFi合约没有实现权限验证函数onlyOwner，设置burnTokens为public，导致被攻击者利用，将代币全部销毁。项目方对于burn()这类函数, 没有定义合理的访问控制, 导致任意用户都能调用这个合约, 从而造成不必要的损失。

据悉，Hyperlab围绕数字钱包这一核心产品及其周边服务，针对热钱包安全、冷钱包安全、钱包服务器安全，以及钱包使用者安全等议题开展研究工作，为用户和企业提供安全解决方案和服务。

其它快讯：

安全团队：Journey of awakening项目遭受闪电贷攻击，攻击者获取大量ATK代币:金色财经报道，据Beosin EagleEye Web3安全预警与监控平台监测显示，Journey of awakening（ATK）项目遭受闪电贷攻击。攻击者通过闪电贷攻击的方式攻击了ATK项目的策略合约（0x96bF2E6CC029363B57Ffa5984b943f825D333614），从合约中获取了大量的ATK代币。

Beosin安全团队分析发现攻击者已把全部获得的ATK代币兑换为约12万美元的BSC-USD，目前被盗资金已经在0xf2ade5950cdfb43b47fdb0a7bf87e9c84467981f地址被兑换成BNB并且全部转移到龙卷风地址，Beosin安全团队将使用Beosin Trace对被盗资金进行持续追踪。[2022/10/12 10:32:20]

安全团队：一笔价值约240万美元的可疑资金被存入Tornadocash:金色财经消息，据CertiK监测，有一笔价值约240万美元的可疑资金被存入Tornadocash。目前很可能与BXH（BXH_Blockchain）事件有关。截至发稿时，有1865枚ETH（约240万美元）被盗走。

具体细节：EOA 0x158F5......执行了一个可从BSC和AVAX staking合约中提取资金的特权功能，然后将代币转移到了以太坊。

一个被该事件影响的人在创建的Telegram群中泄露了持有资产的staking合约以及相应的团队地址。

BSC 0x158F5......使用InCaseTokensGetStuck()特权函数从staking合约中取出资金。

ERC-20代币随后被换成了ETH，所有资金即1865ETH（240万美元）已经被存入Tornadocash。[2022/9/24 7:18:05]

安全团队：一些恶意网站借“以太坊合并”进行网络钓鱼:金色财经消息，据Beosin Alert监测，一些恶意网站正在使用最近“以太坊合并”的热点进行网络钓鱼活动，这些网站包括ethereum-2[.]mozellosite[.]com和eth-crv[.]com/erc/#/。[2022/9/2 13:04:05]

相关资讯