EOS:Beosin：BSC Token Hub 用于驗證 IAVL 樹的方式存在漏洞，允許攻擊者偽造信息_Neos Credits

ForesightNews消息，據BeosinEagleEye平臺監測顯示，BSCTokenHub10月7日遭遇黑客攻擊，Beosin安全團隊現將手法解析如下：幣安跨鏈橋BSCTokenHub在進行跨鏈交易驗證時，使用了一個特殊的預編譯合約用于驗證IAVL樹。而該實現方式存在漏洞，該漏洞可能允許攻擊者偽造任意消息。1）攻擊者先選取一個提交成功的區塊的哈希值2）然后構造一個攻擊載荷，作為驗證IAVL樹上的葉子節點3）在IAVL樹上添加一個任意的新葉子節點4）同時，添加一個空白內部節點以滿足實現證明5）調整第3步中添加的葉子節點，使得計算的根哈希等于第1步中選取的提交成功的正確根哈希6）最終構造出該特定區塊的提款證明據Beosin安全團隊統計，總計有1.435億美元的被盜資金通過跨鏈進行轉移，通過跨鏈轉移的資金約被盜資金中有7739萬美元的資金通過各種跨鏈轉入了以太坊，5896萬美元的資金留存在FTM鏈中，400萬美元的資金在Arbitrum鏈中，172萬美元的資金在Avalanche鏈中，40萬美元的資金在Polygon和110萬美元在Optimism。BeosinTrace正在對被盜資金進行實時追蹤。

Beosin：civfund的ETH合約遭到攻擊，損失18萬美元:金色財經報道，據Beosin監測，civfund的ETH合約遭到攻擊，損失18萬美元。受害者合約0x7CAEC5E4a3906d0919895d113F7Ed9b3a0cbf826不是開源的。攻擊者調用uniswapV3MintCallback來轉移其他用戶批準的資金。請盡快撤銷對受攻擊合約的批準。[2023/7/8 22:25:30]

Beosin：Thoreum Finance項目被黑客攻擊，被盜資金約58萬美元:金色財經報道，據Beosin EagleEye 安全預警與監控平臺檢測顯示，Thoreum Finance項目被黑客攻擊，涉及金額約為58萬美元。由于ThoreumFinance項目方創建的未開源合約0x79fe的transfer函數疑似存在漏洞，當transfer函數的from和to地址相同時，由于使用臨時變量存儲余額，導致給自己轉賬時，余額會成倍增加，攻擊者重復操作多次，最終獲利2000BNB。

Beosin安全團隊通過Beosin Trace進行追蹤，發現被盜資金已全部轉入tornado cash。[2023/1/19 11:21:19]

巧克力COCO智能合約已通過Beosin(成都鏈安）安全審計:據官方消息，Beosin（成都鏈安）近日已完成巧克力coco智能合約項目的安全審計服務。據介紹，巧克力COCO是基于波場底層打造的一個去中心化開放金融底層基礎設施。結合波場TICP跨鏈協議，訂單簿DEX，智能挖礦等等功能的創新和聚合，進而打造全面去中心化金融平臺。巧克力COCO無ICO、零預挖且零私募，社區高度自治。合約地址：THTpbtqfoGmL6HwqaGrWKd7aJAcUTbCnoC審計報告編號：202010042149[2020/10/5]

Tags：EOSSINCOCOANCNeos Creditssinoc幣行情COCO價格Balancer

Luna