安全團隊：獲利約900萬美元，Moola協議遭受黑客攻擊事件簡析

10月19日消息，據Beosin EagleEye Web3安全預警與監控平臺監測顯示，Celo上的Moola協議遭受攻擊，黑客獲利約900萬美元。Beosin安全團隊第一時間對事件進行了分析，結果如下：

第一步：攻擊者進行了多筆交易，用CELO買入MOO,攻擊者起始資金（182000枚CELO）.

第二步：攻擊者使用MOO作為抵押品借出CELO。根據抵押借貸的常見邏輯，攻擊者抵押了價值a的MOO，可借出價值b的CELO。

第三步：攻擊者用貸出的CELO購買MOO，從而繼續提高MOO的價格。每次交換之后，Moo對應CELO的價格變高。

第四步：由于抵押借貸合約在借出時會使用交易對中的實時價格進行判斷，導致用戶之前的借貸數量，并未達到價值b，所以用戶可以繼續借出CELO。通過不斷重復這個過程，攻擊者把MOO的價格從0.02 CELO提高到0.73 CELO。

第五步：攻擊者進行了累計4次抵押MOO，10次swap（CELO換MOO），28次借貸，達到獲利過程。

本次遭受攻擊的抵押借貸實現合約并未開源，根據攻擊特征可以猜測攻擊屬于價格操縱攻擊。截止發文時，通過Beosin Trace追蹤發現攻擊者將約93.1%的所得資金 返還給了Moola Market項目方，將50萬CELO 捐給了impact market。自己留下了總計65萬個CELO作為賞金。

安全團隊：GEMDAO項目發生rug pull，卷走322BNB:金色財經報道，據安全團隊成都鏈安消息，GEMDAO發生rug pull，其合約擁有者調用存在后門的函數transfer()憑空增加自己GEMDAO余額，隨后使用增加的GEMDAO將池子中的WBNB兌換出。該transfer()函數接受者為owner時將直接增加自己的余額。項目方共卷走322BNB (約105,553.49美元) ，安全團隊成都鏈安正在對被盜資金進行實時監控。[2022/8/14 12:24:09]

安全團隊：NFT項目Not Bored Apes Discord遭攻擊并發布網絡釣魚鏈接:金色財經消息，據CertiK監測，NFT項目Not Bored Apes的Discord遭受攻擊，一個mod賬戶似乎被黑，開始頻繁發布網絡釣魚鏈接。請對官方未公布的Mint保持警惕。[2022/6/4 4:02:07]

安全團隊：SHIDAO 確認跑路，$ShiD跌幅已逾80%:金色財經消息，據CertiK安全團隊監測，SHIDAO 確認跑路，$ShiD跌幅已逾80%。經初步分析，目前損失金額已達16.5至19萬美元。代幣地址：0xc59D46Ce32D8652536b5aE96DED0242E04923FD6。[2022/5/26 3:43:04]