EOS:PeckShield分析TreasureDAO黑客事件：代碼函數存在漏洞，導致100多個NFT被盜_ELD

3月3日，PeckShield發推分析了TreasureDAO黑客事件。PeckShield表示，TreasureDAO在一系列的交易中被利用，導致100多個NFT從Treasure市場中被盜。為了說明問題，PeckShield調查了黑客交易，并展示了下面的關鍵步驟。

PeckShield：SafeDollar被攻擊源于獎勵池鑄幣漏洞:PeckShield“派盾”安全人員定位發現，Polygon鏈上的算法穩定幣項目SafeDollar遭到黑客攻擊，攻擊者頻繁調用deposit()/withdraw() 操作來降低獎勵池余額，從而大大提升每股的獎勵額，也就造成了獎勵池鑄幣漏洞。攻擊者利用鑄幣漏洞增發了831,309,277,244,108,000 (83萬萬億)枚SDO穩定幣。[2021/6/28 0:11:55]

1.用有效的NFT代幣和NFTID調用buyItem()，但為無效的ZERO數量。

PeckShield：BSC鏈上Impossible Finance 遭到閃電貸攻擊攻擊者獲利49.7萬美元:北京時間 6 月 21 日，PeckShield “派盾”預警顯示，BSC鏈上DeFi協議Impossible Finance遭到閃電貸攻擊，攻擊者獲利1,510.75WBNB（合計 49.7 萬美元）。[2021/6/21 23:53:28]

2.Treasure市場出售NFT，但收取0MAGIC。

聲音 | PeckShield: 12月份多起競猜類游戲攻擊者系同一黑客:突發的各類EOS競猜類黑客攻擊事件，不僅給開發者帶來龐大的數字資產損失，還嚴重影響DApp生態的平衡，如何追繳受損資金成為擺在安全公司、ECAF社區、交易所等面前的難題。最近，PeckShield安全盾風控平臺DAppShield通過持續黑名單庫掃描和鏈上數據追蹤發現，去年12月份以來先后攻擊過EOS競猜游戲LuckBet、EOS Buff、ggeos等多個EOS競猜游戲的4個黑客帳號之間存在關聯，確定系同一黑客。數月以來，該黑客通過攻擊各類EOS競猜類游戲已經持續獲利上萬個EOS。PeckShield安全盾正全面布控追蹤近段時間遭黑客攻擊損失的資金流向，且正積極尋求各大相關交易所協助，希望盡可能幫助游戲開發者追繳受損資金。[2019/1/11]

由于在buyItem()中存在區分ERC721和ERC1155的錯誤，該錯誤將ERC721的價格計算為ERC1155的價格，而給定的數量為0，所以該黑客行為才成為可能。

Tags：SHIELDSHIELDEOSSHIBA幣YieldlyMoonshield FinanceFarmEOS

比特幣交易