安全团队：MTDAO项目方的未开源合约遭受闪电贷攻击，损失近50万美元

金色财经报道，据Beosin EagleEye Web3安全预警与监控平台检测显示，MTDAO项目方的未开源合约0xFaC064847aB0Bb7ac9F30a1397BebcEdD4879841遭受闪电贷攻击，受影响的代币为MT和ULM。攻击交易为0xb1db9743efbc306d9ba7b5b892e5b5d7cc2319d85ba6569fed01892bb49ea499，共获利487,042.615 BUSD。攻击者通过未开源合约中的0xd672c6ce和0x70d68294函数，调用了MT与ULM代币合约中的sendtransfer函数获利（因为同为项目方部署，未开源合约0xFaC06484具有minter权限）。

Beosin安全团队分析发现攻击者共获利1930BNB，其中1030BNB发送到0xb2e83f01D52612CF78e94F396623dFcc608B0f86地址后全部转移到龙卷风地址，其余的swap为其他代币转移到其它地址。用户和项目方请尽快移除流动性，防止攻击合约有提币和兑换接口。

其它快讯：

安全团队：Acala项目方对aUSD池子的奖励倍率进行了修改，导致池子的奖励被放大:8月14日消息，波卡生态项目Acala因链上设置错误，导致aUSD增发。以下是慢雾安全团队分析：

1. 项目方在2022-08-13 22:23:12 (+UTC)调用了 update_dex_saving_rewards 对 aUSD 池子的奖励倍率进行了修改，修改为500000000000000000。

2. 在区块的 hook 函数 on_initialize 中会去调用 accumulate_dex_saving 函数,在函数中池子的奖励总量是由 dex_saving_reward_rate 乘上 dex_saving_reward_base，由于 dex_saving_reward_rate 在上一步中已经被放大了导致池子的奖励也被放大。

3. 最后用户领取到了错误的奖励。[2022/8/14 12:24:52]

安全团队：thesaudinft[.]io是钓鱼网站，请勿与之交互:金色财经消息，据慢雾监测，thesaudinft[.]io是钓鱼网站，请勿与之交互，一旦点击认领，用户的资金和NFT将会被盗。[2022/8/7 12:08:00]

安全团队：treasure swap项目方遭受攻击，攻击者累计获利3,945个BNB:6月11日消息，据成都链安安全社区消息，treasure swap项目方遭受攻击，根据成都链安技术团队分析，攻击者仅使用0.000000000000000001WETH就可将交易池中的WETH代币兑光，经对源码的逆向发现：被攻击合约的swap函数中缺少K值的校验。目前攻击者已完成对0xe26e436084348edc0d5c7244903dd2cd2c560f88和0x96f6eb307dcb0225474adf7ed3af58d079a65ec9两个合约的攻击，累计获利3,945个BNB，被盗资金仍在收益地址0x0FaCB17eFCb6cA6Ff66f272DE6B306DE9fb5931D上，成都链安链必追系统将持续监控被盗资金动向。[2022/6/11 4:18:31]

相关资讯