Beosin：JPEG'd 遭受攻擊原因為重入攻擊

金色財經報道，據Beosin安全團隊分析，JPEG'd 項目遭遇攻擊的根本原因在于重入，攻擊者在調用remove_liquidity函數移除流動性時通過重入add_liquidity函數添加流動性，由于余額更新在重入進add_liquidity函數之前，導致價格計算出現錯誤。

此前報道，JPEG'd項目遭遇攻擊，損失至少約1000萬美元。

Beosin：Avalanche鏈上Platypus項目損失850萬美元攻擊事件解析:2月17日，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、 預警與阻斷平臺監測顯示，Avalanche鏈上的Platypus項目合約遭受閃電貸攻擊，Beosin安全團隊分析發現攻擊者首先通過閃電貸借出4400萬USDC之后調用Platypus Finance合約的deposit函數質押，該函數會為攻擊者鑄造等量的LP-USDC，隨后攻擊者再把所有LP-USDC質押進MasterPlatypusV4合約的4號池子當中，然后調用positionView函數利用_borrowLimitUSP函數計算出可借貸余額，_borrowLimitUSP函數會返回攻擊者在MasterPlatypusV4中質押物品的價值的百分比作為可借貸上限，利用該返回值通過borrow函數鑄造了大量USP（獲利點），由于攻擊者自身存在利用LP-USDC借貸的大量債務（USP），那么在正常邏輯下是不應該能提取出質押品的，但是MasterPlatypusV4合約的emergencyWithdraw函數檢查機制存在問題，僅檢測了用戶的借貸額是否超過該用戶的borrowLimitUSP（借貸上限）而沒有檢查用戶是否歸還債務的情況下，使攻擊者成功提取出了質押品（4400萬LP-USDC）。歸還4400萬USDC閃電貸后， 攻擊者還剩余41,794,533USP，隨后攻擊者將獲利的USP兌換為價值8,522,926美元的各類穩定幣。[2023/2/17 12:12:32]

Beosin：Ankr Staking遭遇私鑰泄露，目前Wombat池子被掏空:12月2日消息，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，由于Ankr Staking: aBNBc Token項目遭受私鑰泄露攻擊，導致增發了大量的aBNBc，從而影響了pair（0x272c...880）中的WBNB和aBNBc的價格，而Wombat項目的WBNB和aBNBc兌換率約為1:1，導致存在套利空間。目前套利地址（0x20a..76f）共獲利約200萬美元，Beosin Trace將持續對被盜資金進行監控。[2022/12/2 21:17:42]

Beosin：Skyward Finance項目遭受攻擊事件簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，Near鏈上的Skyward Finance項目遭受漏洞攻擊，Beosin分析發現由于skyward.near合約的redeem_skyward函數沒有正確校驗token_account_ids參數，導致攻擊者5ebc5ecca14a44175464d0e6a7d3b2a6890229cd5f19cfb29ce8b1651fd58d39傳入相同的token_account_id，并多次領取了WNear獎勵。本次攻擊導致項目損失了約108萬個Near，約320萬美元。Beosin Trace追蹤發現被盜金額已被攻擊者轉走。[2022/11/3 12:12:36]