安全團隊：DARK POOL項目代幣價格下跌超86%

金色財經消息，據CertiK監測，DARK POOL (DPC) 項目代幣價格下跌86%以上。其多個錢包資產已被出售并轉移至EOA 0xD0ABc。

BSC地址：0x280fa78f7a5b87fea9b058cc4a34417a077feb28

安全團隊：FTX交易所遭到gas竊取攻擊事件技術分析:10月13日消息，據Beosin EagleEye Web3安全預警與監控平臺的輿情消息，FTX交易所遭到gas竊取攻擊，黑客利用FTX支付的gas費用鑄造了大量XEN TOKEN。Beosin安全團隊第一時間對事件進行了分析，結果如下：

1.以其中一筆攻擊交易為例

(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)，攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)

2.FTX熱錢包地址會向攻擊合約地址轉入小額的資金，利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約，并且每次執行完子合約之后，子合約都會自毀。

3.接下來子合約fallback()函數去向Xen合約發起鑄幣請求，如下函數，claimRank()函數傳入一個時間期限（最小1天）進行鑄幣，鑄幣條件是只用支付調用gas費，并無其他成本，并且claimMintReward()函數為提取函數，該函數只判斷是否達到時間期限（本次黑客設置的時間期限為最小值1天），便可無條件提取。但在此次調用過程中，交易發起者為FTX熱錢包地址，所以整個調用過程的gas都是由FTX熱錢包地址所支付，而Xen鑄幣地址為攻擊者地址。

4. 1-3中的步驟，重復多次，并且每次重復過程中都會將已到期的代幣提取出來，并且同時發起新的鑄幣請求。

截止發文時，通過Beosin Trace追蹤發現，FTX交易所損失81ETH，黑客通過DODO，Uniswap將XEN Token換成ETH轉移。[2022/10/13 14:26:15]

安全團隊：MEME MetaFi項目代幣價格下跌超93%:金色財經消息，據CertiK監測，MEME MetaFi（MMF）項目代幣價格下跌93%以上。BSC地址：0x64427e98B5403bbE8A95F12B935d4275d2802B26，注意：請勿將MMF與其他同名項目混淆。[2022/10/10 12:51:26]

安全團隊：BSC Token Hub跨鏈交易驗證方式存在漏洞:10月7日消息，據Beosin EagleEye平臺監測顯示，BSC Token Hub10月7日遭遇黑客攻擊，Beosin安全團隊現將手法解析如下：幣安跨鏈橋BSC Token Hub在進行跨鏈交易驗證時，使用了一個特殊的預編譯合約用于驗證IAVL樹。而該實現方式存在漏洞，該漏洞可能允許攻擊者偽造任意消息。

1）攻擊者先選取一個提交成功的區塊的哈希值（指定塊：110217401）

2）然后構造一個攻擊載荷，作為驗證IAVL樹上的葉子節點

3）在IAVL樹上添加一個任意的新葉子節點

4）同時，添加一個空白內部節點以滿足實現證明

5）調整第3步中添加的葉子節點，使得計算的根哈希等于第1步中選取的提交成功的正確根哈希

6）最終構造出該特定區塊（110217401）的提款證明

Beosin Trace正在對被盜資金進行實時追蹤。[2022/10/7 18:41:51]