安全机构：0VIX被攻击的根本原因是通缩代币的价格计算存在缺陷

6月19日消息，Beosin Alert发推称，Ara项目被攻击的根本原因是合约中处理权限存在漏洞。0xB817开头地址批准了大量ARA与USDT交换合约，它没有限制从调用者转移的用于交换的资金。

金色财经报道，据PeckShield分析，Euler Finance 由于其捐赠和清算的逻辑缺陷，其在以太坊上的一系列交易中被利用（黑客交易地址），导致项目损失约1.97 亿美元。具体而言，donateToReserves 需要确保捐赠者仍然有超额抵押，清算需要确保从借款到抵押资产的“正确”转换率。此外，共有两名黑客参与了攻击：0x5F2…8B8c 和 0xBcA…7c5C。

8月18日消息，BlockSec 发推称，DeFi 借贷协议 Exactly Protocol 被攻击的根本原因是 #insufficient_check，攻击者通过直接传递未经验证的虚假市场地址，并将 _msgSender 更改为受害者地址，从而绕过 DebtManager 合约杠杆函数中的许可检查。然后，在不受信任的外部调用中，攻击者重新进入 DebtManager 合约中的 crossDeleverage 函数，并从 _msgSender 种盗取抵押品。

6月12日消息，区块链安全公司 BlockSec 旗下交易浏览器 Phalcon 发推称，DEX 空头交易聚合平台 SellToken 遭遇价格操纵攻击，损失 446 枚 WBNB（约 10 万美元），根本原因是奖励的现货价格计算中存在漏洞。

6月12日消息，据派盾分析，Sturdy Finance被攻击的根本原因在于计算cB-stETH-STABLE资产价格的价格预言机存在漏洞。 今日早些时候消息，据派盾监测，DeFi借贷协议Sturdy遭黑客攻击，此次攻击或通过价格操纵实行，攻击者已将442.6枚ETH（价值约77万美元）转至Tornado Cash。

金色财经报道，交易浏览器Phalcon在社交媒体X（原推特）上称，TrustPad协议被攻击是由于质押逻辑中的几个设计缺陷，即通过不受信任的外部调用操纵锁定期来获取待定奖励。LaunchpadLockableStake合约的receiveUpPool函数中，如果账户未锁定，则会设置depositLockStart时间。然后攻击者操纵它立即存款（通过 receiveUpPool 函数）并提款以积累待处理的奖励。此外，另一个函数stakePendingRewards允许攻击者将累积的待奖励转换为质押金额，从而允许攻击者在以后的交易中以TPAD代币的形式提取质押奖励并出售代币以获取利润。