Beosin：Avalanche链上Platypus项目损失850万美元攻击事件解析

2月17日，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、 预警与阻断平台监测显示，Avalanche链上的Platypus项目合约遭受闪电贷攻击，Beosin安全团队分析发现攻击者首先通过闪电贷借出4400万USDC之后调用Platypus Finance合约的deposit函数质押，该函数会为攻击者铸造等量的LP-USDC，随后攻击者再把所有LP-USDC质押进MasterPlatypusV4合约的4号池子当中，然后调用positionView函数利用_borrowLimitUSP函数计算出可借贷余额，_borrowLimitUSP函数会返回攻击者在MasterPlatypusV4中质押物品的价值的百分比作为可借贷上限，利用该返回值通过borrow函数铸造了大量USP（获利点），由于攻击者自身存在利用LP-USDC借贷的大量债务（USP），那么在正常逻辑下是不应该能提取出质押品的，但是MasterPlatypusV4合约的emergencyWithdraw函数检查机制存在问题，仅检测了用户的借贷额是否超过该用户的borrowLimitUSP（借贷上限）而没有检查用户是否归还债务的情况下，使攻击者成功提取出了质押品（4400万LP-USDC）。归还4400万USDC闪电贷后， 攻击者还剩余41,794,533USP，随后攻击者将获利的USP兑换为价值8,522,926美元的各类稳定币。

Beosin：jimbos protocol 项目疑似遭受攻击，累计损失约750万美元:金色财经报道，据区块链安全审计公司Beosin旗下Beosin?EagleEye安全风险监控、预警与阻断平台监测显示，2023年5月28日，jimbos protocol项目疑似遭受攻击，目前被盗资金已经通过跨链协议转移到以太坊上的0x5f3开头的地址，到目前该笔资金仍存放在该地址上。[2023/5/28 9:46:42]

Beosin：2022年全年Web3领域因各类攻击造成的总损失达到了36亿384万美元:金色财经报道，2022 年全年，Beosin EagleEye 安全风险监控、预警与阻断平台共监测到 Web3 领域主要攻击事件超 167 起，因各类攻击造成的总损失超 36 亿美元，较 2021 年攻击类损失增加了 47.4%。其中单次损失超过一亿美元的安全事件共 10 起，1000 万至一亿美元的安全事件共 21 起。[2022/12/29 22:14:40]

Beosin：黑地址FTX Accounts Drainer已对大额资产进行兑换转移跨链等操作:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，截止2022年11月15日，黑地址FTX Accounts Drainer(0x59AB...32b)已对大额资产进行兑换转移跨链等操作。

目前大部分资金位于账户FTX Accounts Drainer的ETH平台，约228,523 个ETH($288,934,108)和8,184 个PAXG($14,395,174)。BSC平台约108,454 个BNB($29,962,644) 和1,685,309 个DAI($1,686,562) 。

其他部分资金位于ETH上的FTX Accounts Drainer 2账户上，约1999.4 个PAXG($3,516,404)，FTX Accounts Drainer 3账户上约499 个PAXG($878,114)，FTX Accounts Drainer 4账户上约499 个PAXG($878,114)，其它链上的资产目前尚无异动，Beosin Trace将持续对黑地址异动进行监控。[2022/11/16 13:09:37]

相关资讯