安全团队：DAO Officials项目攻击者利用闪电贷获利约58万美元

金色财经消息，据Beosin EagleEye平台监测显示，BNBChain上DAO Officials项目项目遭受攻击。Beosin安全团队分析发现攻击者0x00a62eb08868ec6feb23465f61aa963b89e57e57（SpaceGodzilla Exploiter）利用闪电贷借出大量BSC-USD用于兑换DAO代币，使用兑换的DAO代币利用0xea41bbd80ac69807289d0c4f6582ab73e96834d0合约赚取DAO发放的奖励成功获利581,250（约58万美元）BSC-USD，其中一笔攻击交易

0x414462f2aa63f371fbcf3c8df46b9a64ab64085ac0ab48900f675acd63931f23，目前资金仍在攻击者账户（0x00a6...7e57）中。

安全团队：SUSHI RouteProcessor2 遭受攻击，请及时撤销对其的授权:金色财经报道，据慢雾安全团队情报，2023年4月9日，SUSHI Route Processor2 遭到攻击。慢雾安全团队以简讯的形式分享如下：

1. 根本原因在于 ProcessRoute 未对用户传入的 route 参数进行任何检查，导致攻击者利用此问题构造了恶意的 route 参数使合约读取的 Pool 是由攻击者创建的。

2. 由于在合约中并未对 Pool 是否合法进行检查，直接将 lastCalledPool 变量设置为 Pool 并调用了 Pool 的 swap 函数。

3. 恶意的 Pool 在其 swap 函数中回调了 RouteProcessor2 的 uniswapV3SwapCallback 函数，由于 lastCalledPool 变量已被设置为 Pool，因此 uniswapV3SwapCallback 中对 msg.sender 的检查被绕过。

4. 攻击者利用此问题在恶意 Pool 回调 uniswapV3SwapCallback 函数时构造了代币转移的参数，以窃取其他已对 RouteProcessor2 授权的用户的代币。

幸运的是部分用户的资金已被白帽抢跑，有望收回。慢雾安全团队建议 RouteProcessor2 的用户及时撤销对 0x044b75f554b886a065b9567891e45c79542d7357 的授权。[2023/4/9 13:53:21]

安全团队：被标记为“Fake_Phishing7972”的地址将20枚ETH转至 Tornado Cash:金色财经消息，据CertiK监测，在etherscan上被标记为“Fake_Phishing7972”的地址 0x43764 将20枚ETH（约2.8万美元）转至 Tornado Cash。该地址持有335枚ETH（约47万美金）的余额，并从2022年12月中旬开始活跃。[2023/1/12 11:08:06]

安全团队：UglyPeopleNFT的Discord被黑客入侵:4月17日消息，BlockSec告警系统于4月17日下午5点50分发现UglyPeopleNFT项目的discord被黑客入侵，攻击者正在扩散虚假mint链接，请不要点击公告中的虚假mint链接。[2022/4/17 14:29:43]

相关资讯