REA:安全公司：Multichain的AnyswapV4Router合约遭遇抢跑攻击，攻击者获利约13万美元_STA

据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，2023年2月15日，Multichain的AnyswapV4Router合约遭遇抢跑攻击。

安全公司：Starstream Finance被黑简析:4月8日消息，据Agora DeFi消息，受 Starstream 的 distributor treasury 合约漏洞影响，Agora DeFi 中的价值约 820 万美金的资产被借出。慢雾安全团队进行分析后以简讯的形式分享给大家。

1. 在 Starstream 的 StarstreamTreasury 合约中存在 withdrawTokens 函数，此函数只能由 owner 调用以取出合约中储备的资金。而在 April-07-2022 11:58:24 PM +8UTC 时，StarstreamTreasury 合约的 owner 被转移至新的 DistributorTreasury 合约(0x6f...25)。

2. 新的 DistributorTreasury 合约中存在 execute 函数，而任意用户都可以通过此函数进行外部调用，因此攻击者直接通过此函数调用 StarstreamTreasury 合约中的 withdrawTokens 函数取出合约中储备的 532,571,155.859 个 STARS。

3. 攻击者将 STARS 抵押至 Agora DeFi 中，并借出大量资金。一部分借出的资金被用于拉高市场上 STARS 的价格以便借出更多资金。[2022/4/8 14:12:38]

经分析，攻击者利用MEV合约(0xd050)在正常的交易执行之前(用户授权了WETH但是还未进行转账)抢先调用了AnyswapV4Router合约的anySwapOutUnderlyingWithPermit函数进行签名授权转账，虽然函数利用了代币的permit签名校验，但是本次被盗的WETH却并没有相关签名校验函数，仅仅触发了一个fallback中的deposit函数。在后续的函数调用中攻击者就能够无需签名校验直接利用safeTransferFrom函数将_underlying地址授权给被攻击合约的WETH转移到攻击合约之中。

动态 | 安全公司发现新型门罗币恶意挖矿软件BlackSquid:据Zdnet消息，6月3日，安全公司Trend Micro发现新的恶意软件BlackSquid，并称其“十分危险”。该恶意软件的目的是破坏网络服务器、网络驱动器和可移动存储，以便在目标设备上安装门罗币挖矿脚本XMRig。[2019/6/4]

攻击者获利约87个以太坊，约13万美元，BeosinTrace追踪发现目前被盗资金有约70个以太坊进入了0x690b地址，还有约17个以太坊还留在MEVBOT的合约中。

动态 | Modulus与区块链安全公司BitGo合作 旨在提高交易速度和安全性:据Cryptovest报道，Modulus Global是一家为全球股票、数字货币交易所和衍生品提供交易和监控技术的开发商，该公司于7月26日表示因高频率交易解决方案，而已经与区块链安全公司BitGo达成合作。Modulus表示，BitGo可以实现每秒处理超过1000万笔交易，而却只有不到40纳秒的延迟。除了实现交易速度的相关目标，Modulus还希望通过利用BitGo在区块链和数字货币领域的经验，来提高安全性。[2018/7/26]

交易哈希：0x192e2f19ab497f93ed32b2ed205c4b2ff628c82e2f236b26bec081ac361be47f。

标签：REASTARSSTASTRDREAMPAD币stars币最新消息XSTAR币STRX价格

币安下载热门资讯