成都鏈安：Visor Finance遭受攻擊事件分析_BNB

據成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，VisorFinance于北京時間2021年12月21日晚上10點18分遭受攻擊。經成都鏈安技術團隊分析，本次攻擊利用了VisorFinance項目抵押挖礦合約RewardsHypervisor的兩個漏洞：

成都鏈安：GYM Network 項目的GymSinglePool遭受攻擊:6月8日消息，據成都鏈安安全輿情監控數據顯示，GYM Network 項目的GymSinglePool遭受了攻擊。因為_autoDeposit函數未轉入抵押的代幣，攻擊者惡意調用了depositFromOtherContract函數記賬，并憑空提取了GYM token，目前2000BNB已進了Tornado Cash，3000BNB存放在攻擊賬戶中，價值70W美元的ETH轉入了以太坊。[2022/6/8 4:10:43]

1.call調用未對目標合約進行限制，攻擊者可以調用任意合約，并接管了抵押挖礦合約的執行流程；<-主要漏洞，造成本次攻擊的根本原因。

成都鏈安：Feminist Metaverse項目遭受攻擊，攻擊者已將1838BNB轉入tornado.cash:據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，BNB Chain上Feminist Metaverse(FM_Token)項目遭受攻擊。

攻擊者地址:

0xaaA1634D669dd8aa275BAD6FdF19c7E3B2f1eF50

攻擊交易bsc：0xfdc90e060004dd902204673831dce466dcf7e8519a79ccf76b90cd6c1c8b320d

目前攻擊者已將1838BNB轉入tornado.cash，約54萬美元。[2022/5/19 3:26:26]

2.函數未做防重入攻擊；<-次要漏洞，導致了抵押憑證數量計算錯誤，不是本次攻擊的主要利用點，不過也可憑此漏洞單獨發起攻擊。

動態 | 成都鏈安: 今日被盜巨鯨用戶可能遭到了持續性攻擊:金色財經消息，今日被曝被盜至少1500BTC和約6萬BCH的大戶可能早就被黑客選為攻擊目標，被盜地址1Edu4yBtfAKwGGsQSa45euTSAG6A2Zbone自2018年1月23日起共收到5423枚BTC，其中絕大數來自長期持有BTC占據大戶榜前50的地址1JsVdtXZHKnuzUihEjCPyRm5EEcxRjWGEh。2019年2月8日，用戶生成了一筆金額為1662.4的巨額utxo并在19年多次使用該筆資金拆出小額進行交易，我們猜測黑客可能通過該地址與1JsVdtXZHKnuzUihEjCPyRm5EEcxRjWGEh的資金聯系等確認了用戶的身份，黑客可能在19年就確定了目標并進行了持久化的社會工程學攻擊。攻擊者在攻擊得手后立刻開始了混幣和資金轉移，值得注意的是攻擊者用于拆分資金的兩個地址之一在19年頗為活躍，經成都鏈安AMl系統分析發現其中部分資金來自幣安等交易所，這些交易所可能有相關提幣記錄，成都鏈安正在跟蹤這一線索。[2020/2/22]

針對這兩個問題，成都鏈安建議項目方應做好下面兩方面：

1.進行外部合約調用時，建議增加白名單，禁止任意的合約調用，特別是能夠控制合約執行流程的關鍵合約調用；

2.函數做好防重入，推薦使用openzeppelin的ReentrancyGuard合約。

此前消息稱，流動性管理協議VisorFinance遭黑客攻擊，損失約820萬美元。BentFinance官方表示，攻擊者盜取51.3萬cvxcrvLP代幣，建議所有用戶現在撤回其MIMLP。Bent上的cvxcrv和mimCurve池是受影響的池，已禁用cvxcrv和mim池的獎勵申領。

Tags：ANCGYMBNBNANKiKi.financeGYMAI價格PEPEBNBTrue Dollar Finance

比特幣行情