Beosin：Avalanche链上Platypus项目损失850万美元攻击事件解析

2月17日，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、 预警与阻断平台监测显示，Avalanche链上的Platypus项目合约遭受闪电贷攻击，Beosin安全团队分析发现攻击者首先通过闪电贷借出4400万USDC之后调用Platypus Finance合约的deposit函数质押，该函数会为攻击者铸造等量的LP-USDC，随后攻击者再把所有LP-USDC质押进MasterPlatypusV4合约的4号池子当中，然后调用positionView函数利用_borrowLimitUSP函数计算出可借贷余额，_borrowLimitUSP函数会返回攻击者在MasterPlatypusV4中质押物品的价值的百分比作为可借贷上限，利用该返回值通过borrow函数铸造了大量USP（获利点），由于攻击者自身存在利用LP-USDC借贷的大量债务（USP），那么在正常逻辑下是不应该能提取出质押品的，但是MasterPlatypusV4合约的emergencyWithdraw函数检查机制存在问题，仅检测了用户的借贷额是否超过该用户的borrowLimitUSP（借贷上限）而没有检查用户是否归还债务的情况下，使攻击者成功提取出了质押品（4400万LP-USDC）。归还4400万USDC闪电贷后， 攻击者还剩余41,794,533USP，随后攻击者将获利的USP兑换为价值8,522,926美元的各类稳定币。

Beosin：ETH链上COPE代币项目存在后门:金色财经报道，区块链安全审计公司Beosin旗下Beosin?EagleEye安全风险监控、预警与阻断平台监测显示，ETH链上COPE 代币项目存在后门，特权地址可以调用伪造的Approve销毁任意地址的余额。提醒用户注意资金安全。[2023/7/21 15:50:29]

Beosin：1月各类攻击事件损失总金额约1464万美元，较去年12月下降约77%:金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，2023年1月，各类安全事件涉及金额较2022年12月持续大幅下降。1月发生较典型安全事件超『19』起，各类攻击事件损失总金额约1464万美元，较去年12月下降约77%，比2022年任何一个月的损失金额都要低。

本月较大的安全事件为HECO生态跨链借贷平台LendHub因没有弃用旧合约而被攻击，损失近600万美元。此外，两起个人钱包被盗事件损失均超过百万美元，钱包的安全性问题依旧不容忽视。在黑客猖獗的2022年过去之后，2023开年的区块链安全态势总体相对平稳。本月针对项目方的攻击事件呈下降趋势，反倒是一些针对个人用户钱包、社媒账号的攻击事件有所增加。Beosin建议个人用户一定要提高防钓鱼意识，规范操作。本月发生的典型跑路事件均是通过后门代码进行Rug Pull，建议用户在交互前一定要仔细查看相关的审计报告，避免资产遭受损失。[2023/1/31 11:38:34]

Beosin：FTX黑客再次清洗部分被盗资产，约830万美元:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，截止北京时间11月17日11点 , FTX黑客再次清洗部分被盗资产，FTX攻击事件黑客（链上地址被标记为FTX Accounts Drainer）从币安链上通过兑换跨链将6868 ETH的资产转移到以太坊，约830万美元，Beosin Trace正持续对该黑地址进行监控。[2022/11/17 13:16:04]

相关资讯