安全公司:Harvest_Keeper项目存在恶意转移用户资金涉及金额约93.3万美元

8月15日消息，来自成都链安社区成员情报显示，yVaren项目中有人发起了一个恶意提案（提案ID：0）。成都链安安全团队分析发现：通过该提案，可以将yVaren项目金库的VRN代币全部授权给提案者（0xc59d7e226c8f222e2142bf0f4b3efa83370f8cab），若提案执行，那么提案者可将金库中所有VRN代币转移。目前提案还未执行，请用户注意保护资金安全。

据Beosin EagleEye Web3安全预警与监控平台监测显示，TempleDAO项目遭受黑客攻击。因为在StaxLPStaking合约的migrateStake函数缺少权限校验，导致任意人都可以通过该函数提取合约中的StaxLP。 Beosin安全团队分析发现攻击者已把全部获得的StaxLP代币全部兑换为ETH，目前被盗资金已全部转移到0x2B63d4A3b2DB8AcBb2671ea7B16993077F1DB5A0地址，Beosin安全团队将持续跟踪。Beosin Trace将对被盗资金进行持续追踪。

金色财经报道，据Beosin EagleEye Web3安全预警与监控平台监测显示，Rabby项目遭受黑客攻击。因为RabbyRouter的_swap函数存在外部调用,任意人都可以调用该函数，转走授权该合约用户的资金。目前攻击者已在Ethereum，BSC链，polygon，avax，Fantom，optimistic，Arbitrum发起攻击，请用户取消对相应合约的授权。 Beosin安全团队分析发现攻击者(0xb687550842a24D7FBC6Aad238fd7E0687eD59d55)已把全部获得的代币兑换为相应平台币，目前被盗资金已全部转移到龙卷风中。Beosin Trace将对被盗资金进行持续追踪。

2月6日消息，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，BSC-WBNB-WOOF交易对被攻击，交易哈希：0xea5cf9199d23a9108d84e9204cb13795a480b34a6e4ef448245a1452f69fe781。 据Beosin安全技术人员分析，该攻击是由于WOOF代币合约的后门代码导致的，WOOF的address(jZKbvD)权限地址可以使用transferFrom函数0授权转移任何地址的WOOF代币。攻击者通过transferFrom函数转移走了BSC-WBNB-WOOF交易对内的WOOF代币，并更新池子的储备量，接着使用大量的WOOF代币兑换交易对内的所有WBNB。 目前涉及资金约11.5万美元，大部分通过攻击者地址（0x9b07f0488390a2d9c7af9ae40e0e64f31489006d）分散到其他地址。

金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，截至目前，Sentiment Exploiter攻击者向0xc5fc2Cbf32C09F89F91Caf2023884729116eA5D1地址发送465.75ETH，随后被发送至多签合约0x7582BC8402865c57bC55320B2a3Fe8EaC46C233C，这部分ETH价值约88万美元，疑似已归还到项目方。此外，51ETH被攻击者发送到Tornado.Cash，价值约9.6万美元。此前消息，Sentiment遭遇攻击损失价值共517ETH，约1百万美元。

11月7日消息，MooCakeCTX遭到攻击，截至写稿时为止，黑客获利约143921美元。 经Fairyproof初步分析，发现疑似原因为该合约在用户质押前（depositAll函数）未结算奖励进行复投（未调用`earn`函数），这会导致用户在质押后就马上能获取以前的质押分红。攻击者在同一个区块内使用闪电贷借出 50000个cake代币后，连续两次进行质押，然后再提取质押的cake代币，归还后获利。攻击地址为: 0x35700c4a7bd65048f01d6675f09d15771c0facd5 , Fairyproof正严密注意该地址的动向，并提醒类似的合约注意防范此类问题。