安全團隊：某質押挖礦項目遭受攻擊，損失約為11萬美元

7月12日消息，據成都鏈安安全社區成員提供的情報顯示，質押挖礦項目（0xa792B90067bd73b048AF12bC2a6E1978FE34BBdb）遭受黑客攻擊。經成都鏈安技術團隊分析，攻擊者利用合約中updateBalance函數的加法溢出漏洞，修改攻擊賬戶的質押量，最終利用超高的質押量領取出了該合約幾乎全部的資產。最終，攻擊者總計獲利約為11萬美元，目前獲利資金一半已進入Tornado.Cash，另一半被轉至0xbfa16fB56B50ac3A69922447BBfC89A59b8B350A地址。成都鏈安“鏈必追”將會對涉案地址進行持續監控。

安全團隊：ROE Finance 項目遭到閃電貸攻擊:金色財經消息，據CertiK監測，ROE Finance項目遭到閃電貸攻擊。目前部署者已暫停合約功能，被盜資金總額約為8萬美元。

ETH合約地址：0x574FF39184Dee9e46F6C3229B95e0e0938e398d0[2023/1/12 11:07:26]

安全團隊：DFX Finance攻擊者獲利逾23萬美元:11月11日消息，據慢霧安全團隊情報，ETH鏈上的DFX Finance項目遭到攻擊，攻擊者獲利約231,138美元。慢霧安全團隊以簡訊形式分享如下：

1. 攻擊者首先調用了名為Curve的合約中的viewDeposit函數來查看合約中的存款情況，之后根據返回的存款情況來構造合適的閃電貸需要借出的錢。

2. 緊接著繼續Curve合約的flash函數進行閃電貸，因為該函數未做重入鎖保護，導致攻擊者利用閃電貸中的flashCallback函數回調了合約的deposit函數進行存款。

3. 存款函數外部調用了ProportionalLiquidity合約的proportionalDeposit函數，在該函數中會將第二步中借來的資金轉移回Curve合約里，并且為攻擊合約進行存款的記賬，并且為攻擊合約鑄造存款憑證。

4. 由于利用重入了存款函數來將資金轉移回Curve合約中，使得成功通過了閃電貸還款的余額檢查。

5. 最后調用withdraw函數進行取款，取款時會根據第三步存款時對攻擊合約記賬燃燒掉存款憑證，并以此成功取出約2,283,092,402枚XIDR代幣和99,866枚USDC代幣獲利。

此次攻擊的主要原因在于Curve合約閃電貸函數并未做重入保護，導致攻擊重入了存款函數進行轉賬代幣來通過閃電貸還款的余額判斷，由于存款時有記賬所以攻擊者可以成功提款獲利。[2022/11/11 12:51:08]

安全團隊：ProjectX項目代幣價格下跌為黑客攻擊并非Rug Pull:7月7日消息，安全團隊CertiK剛剛對ProjectX項目PXT代幣價格下跌發布更新，稱該項目的Discord服務器仍在運行，官方稱價格下降是由于黑客攻擊（漏洞利用）造成的。CertiK對其技術問題表示歉意。

此前消息，CertiK稱ProjectX項目發生Rug Pull，合約部署者拋售代幣后獲利1.9萬美元。[2022/7/7 1:57:33]