Beosin：Socket協議遭受攻擊者原因是call注入攻擊

金色財經報道，據Beosin旗下EagleEye安全風險監控、預警與阻斷平臺監測顯示，Socket協議遭受攻擊者call注入攻擊，導致大量授權用戶資金被盜。本次攻擊主要是由于Socket合約的performAction函數存在不安全的call調用。

該函數功能是調用者可以將WETH兌換為ETH，并且調用者需要通過WETH的call將轉入合約的WETH兌換為ETH，否則將不能通過余額檢查。按理說函數中的call調用只能調用WETH合約的withdraw函數，但是項目方未考慮到調用者轉入的WETH數量為0的情況，導致調用者可以在call中去調用其他指定函數，并且能通過余額檢查。

攻擊者通過構造calldata，調用任意代幣的transferfrom，將其他用戶授權給該合約的代幣轉移到攻擊者地址。目前攻擊者將被盜資金兌換為ETH，并保存在攻擊者地址上，Beosin將對資金進行持續監控。

其它快訊：

Beosin：Stars Arena遭受黑客攻擊原因疑似為重入攻擊:金色財經報道，據Beosin EagleEye監測顯示，Stars Arena遭受到黑客攻擊，損失約300萬美元。Beosin安全團隊分析發現，由于合約沒開源，疑似存在重入漏洞。攻擊者在調用0xe9ccf3a3函數過程中，重入調用0x5632b2e4函數，設置了高度，而在sellShares函數中，使用了這些高度作為發送AVAX數量的計算參數，使得計算的數據異常大。最終攻擊者獲得大量收益。Beosin Trace正在對被盜資金進行追蹤。[2023/10/7 16:37:46]

Beosin：civfund的ETH合約遭到攻擊，損失18萬美元:金色財經報道，據Beosin監測，civfund的ETH合約遭到攻擊，損失18萬美元。受害者合約0x7CAEC5E4a3906d0919895d113F7Ed9b3a0cbf826不是開源的。攻擊者調用uniswapV3MintCallback來轉移其他用戶批準的資金。請盡快撤銷對受攻擊合約的批準。[2023/7/8 22:25:30]

動態 | Beosin預警：持續警惕hardfail狀態攻擊 ?:Beosin（成都鏈安）預警，根據成都鏈安區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現，目前仍有不少攻擊者嘗試使用hard_fail 狀態攻擊，攻擊測試目標已由交易所轉向各類游戲合約，截止9號晚間10點，攻擊者****wge在持續攻擊中嘗試混合使用正常轉賬交易和hardfail失敗交易，在兩次交易中設置同樣的memo，如果項目方從節點獲取交易數據時沒有做好完整的交易判斷，可能會因此造成損失，這種攻擊嘗試雖然簡單但仍可能造成危害，Beosin（成都鏈安）提醒各項目方做好自檢自查，對交易執行狀態進行校驗，避免不必要的損失。[2019/4/9]