BNB:安全團隊：BSC上的ORT)項?遭受攻擊_GAS

1月17日消息，據Fairyproof檢測，BSC上的OMNIRealEstateToken(ORT)項?遭受攻擊，攻擊原因疑似為合約代碼有漏洞。攻擊者地址為：0x9BbD94506398a1459F0Cd3B2638512627390255e，其中?個攻擊合約為0x0eFfECA3dBCBcda4d5e4515829b0d42181700606，攻擊初始gas來源FixedFloat熱錢包，攻擊者獲利超過236個BNB，價值約70705美元。漏洞合約為項?的StakingPool合約，在_Check_reward函數中，當durations為0時，條件判斷沒有覆蓋，會返回?個上次的全局變量值，造成獎勵計算錯誤。攻擊者調?invest函數時，end_date輸?為0，此時合約未驗證?戶輸?，因此合約可以繼續運?，duration=0,?在_Check_reward函數中也未驗證durations的值，并且在_Check_reward函數中使?了全局變量來參與計算，多重因素造成了?錯誤的獎勵值。

安全團隊：批準未知來源的代幣時請仔細檢查交易的 gas limit:金色財經報道，據慢霧區情報，BSC 鏈上最近出現一個名為 GPT 的代幣，合約地址為0x513C285CD76884acC377a63DC63A4e83D7D21fb5。當用戶對該代幣進行 approve 操作時，錢包會根據余額增大 gas limit，而該代幣合約會使用用戶的 gas 去鑄造 CHI 代幣，當合約收集夠大量的 CHI 代幣后，這個惡意代幣合約的管理者就可以通過燃燒掉 CHI 代幣獲得合約摧毀時返還的 gas 補償。

慢霧安全團隊提醒用戶在對未知來源的代幣進行批準時仔細檢查交易的 gas limit。[2023/3/28 13:31:05]

安全團隊：Ankr攻擊者已將10萬億aBNB兌換為5500枚BNB和534萬枚USDC:12月2日消息，據CertiK數據監測，Ankr攻擊者已將10萬億aBNB兌換為5500枚BNB和534萬枚USDC（總計約700萬美元），目前攻擊者地址仍持有約6萬億aBNB和100枚BNB。

到目前為止，900枚BNB已發送至Tornado Cash，370萬枚USDC發送至Celer Network cBridge，164萬枚USDC發送至地址0xd1C596。[2022/12/2 21:18:23]

安全團隊：Flurry Finance攻擊事件利用了RhoToken代幣的rebase機制:4月25日消息，Cobo區塊鏈安全團隊就Flurry Finance攻擊事件進行了分析，發現此次攻擊與經典的閃電貸操縱預言機的攻擊手段不同，而是利用了Flurry Finance中RhoToken代幣的rebase機制。漏洞的本質原因在于協議對RhoToken進行rebase時計算multiplier的公式中依賴于外部可控的數據（Bank中的token數量）。從而使攻擊者通過閃電貸的方式實現了對multiplier的操縱，進而獲利。雖然本次攻擊中使用到了偽造ERC20重寫approve方法再利用Rabbit Finance的StrategyLiquidate合約來執行任意代碼的技巧，但這個技巧涉及到的合約代碼本身其實并不存在安全問題。Cobo區塊鏈安全團隊提醒，開發者在進行項目開發時需要特別注意合約在計算資產數量、價格時是否有依賴外部某些可能被惡意操縱的數據。閃電貸操縱預言機的典型攻擊模式其實也是項目中依賴于DEX池內代幣價格進行了內部某些關鍵指標的計算導致的。

此前消息，2月22日，BSC鏈上的Flurry Finance遭到閃電貸攻擊，導致協議中Vault合約中價值數十萬美元的資產被盜。[2022/4/25 14:46:47]

Tags：BNBGASFINTOKWBNB0xGaslessVent FinanceWPX Token

Polygon