Beosin：Poloniex黑客攻擊預估損失至少1.14億美元，波場鏈被盜35種代幣

金色財經報道，據Beosin平臺監測顯示，Poloniex黑客攻擊事件損失至少約1.14億美元，Beosin Trace追蹤發現其中包括32,766,696.57枚USDT（11,030,539.88來自ETH鏈，21,736,156.69來自TRON）、283.66 ETH（65.93來自ETH鏈，217.73來自TRON），86.50 WBTC（23.71640635來自ETH鏈，62.787338來自TRON）等，波場鏈被盜35種資產（含TRX），資金明細如下圖所示。

其它快訊：

Beosin：Socket協議遭受攻擊者原因是call注入攻擊:金色財經報道，據Beosin旗下EagleEye安全風險監控、預警與阻斷平臺監測顯示，Socket協議遭受攻擊者call注入攻擊，導致大量授權用戶資金被盜。本次攻擊主要是由于Socket合約的performAction函數存在不安全的call調用。

該函數功能是調用者可以將WETH兌換為ETH，并且調用者需要通過WETH的call將轉入合約的WETH兌換為ETH，否則將不能通過余額檢查。按理說函數中的call調用只能調用WETH合約的withdraw函數，但是項目方未考慮到調用者轉入的WETH數量為0的情況，導致調用者可以在call中去調用其他指定函數，并且能通過余額檢查。

攻擊者通過構造calldata，調用任意代幣的transferfrom，將其他用戶授權給該合約的代幣轉移到攻擊者地址。目前攻擊者將被盜資金兌換為ETH，并保存在攻擊者地址上，Beosin將對資金進行持續監控。[2024/1/17 20:23:13]

Beosin：SEAMAN合約遭受漏洞攻擊簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，2022年11月29日，SEAMAN合約遭受漏洞攻擊。Beosin分析發現是由于SEAMAN合約在每次transfer函數時，都會將SEAMAN代幣兌換為憑證代幣GVC，而SEAMAN代幣和GVC代幣分別處于兩個交易對，導致攻擊者可以利用該函數影響其中一個代幣的價格。

攻擊者首先通過50萬BUSD兌換為GVC代幣，接下來攻擊者調用SEAMAN合約的transfer函數并轉入最小單位的SEAMAN代幣，此時會觸發合約將能使用的SEAMAN代幣兌換為GVC，兌換過程是合約在BUSD-SEAMAN交易對中將SEAMAN代幣兌換為BUSD，接下來在BUSD-GVC交易對中將BUSD兌換為GVC，攻擊者通過多次調用transfer函數觸發_splitlpToken()函數，并且會將GVC分發給lpUser，會消耗BUSD-GVC交易對中GVC的數量，從而抬高了該交易對中GVC的價格。最后攻擊者通過之前兌換的GVC兌換了50.7萬的BUSD，獲利7781 BUSD。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），將持續關注資金走向。[2022/11/29 21:10:04]

Beosin：QANplatform跨鏈橋遭受黑客攻擊，涉及金額約189萬美元:10月11日消息，據Beosin EagleEye Web3安全預警與監控平臺監測顯示，QANplatform跨鏈橋項目遭受黑客攻擊。攻擊交易為以下兩筆0xf93047e41433d73ddf983cfa008aeb356ec89803c0a92b0e97ccdc6c42a13f51(bsc),

0x048a1a71fd41102c72427cc1d251f4ecbf70558562564306e919f66fd451fe82(eth)。

Beosin安全團隊分析發現攻擊者首先使用0x68e8198d5b3b3639372358542b92eb997c5c314地址（因為0x68e819是創建跨鏈橋地址，所以該地址應該屬于項目方。）調用跨鏈橋合約中的bridgeWithdraw函數提取QANX代幣，然后把QANX代幣兌換為相應平臺幣。存放在攻擊者地址上（0xF163A6cAB228085935Fa6c088f9Fc242AFD4FB11）。目前被盜資金中還存放在攻擊者地址，Beosin安全團隊將持續跟蹤。Beosin Trace將對被盜資金進行持續追蹤。[2022/10/11 10:31:06]