Beosin：Ara项目被攻击的根本原因是合约中处理权限存在漏洞

金色财经报道，根据MetaTrust Alert发贴表示，Ethereum上的合约 ENF_ETHLEV 遭到攻击，漏洞的根据原因是“EFVault”合约的“提款”函数中存在逻辑问题，该函数允许用户在ENF_ETHLEV余额少于预期份额时烧毁用户的ENF_ETHLEV余额。 此前报道，部署在Ethereum上的合约 ENF_ETHLEV 遭到攻击。截止至现在，遭受攻击损失金额已达约 288 ETH，价值约536,000美元。所有代币已被入新的钱包 (0xee4b3d)。

金色财经报道，安全机构BlockSec 发推称，Polygon 生态项目 0VIX Protocol 被黑客攻击的根本原因是通缩代币的价格计算存在缺陷。具体来说，vGHST 是 GHST 的权益代币，借贷平台为 vGHST 提供了一个市场（ovGHST），ovGHST 价格预言机取决于 vGHST 到 GHST 的转换率。攻击者首先在合约 0x49c6 中借入大量 vGHST 以提高相应的借入金额。之后，他转了一大笔钱给 vGHST 合约。这会影响从 vGHST 到 GHST 的转化率。因此，合约 0x49c6 变得资不抵债，攻击者通过清算该合约获利。

金色财经报道，根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，2022年11月29日，SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时，都会将SEAMAN代币兑换为凭证代币GVC，而SEAMAN代币和GVC代币分别处于两个交易对，导致攻击者可以利用该函数影响其中一个代币的价格。 攻击者首先通过50万BUSD兑换为GVC代币，接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币，此时会触发合约将能使用的SEAMAN代币兑换为GVC，兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD，接下来在BUSD-GVC交易对中将BUSD兑换为GVC，攻击者通过多次调用transfer函数触发_splitlpToken()函数，并且会将GVC分发给lpUser，会消耗BUSD-GVC交易对中GVC的数量，从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD，获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），将持续关注资金走向。

金色财经报道，Beosin 安全团队发现，在以太坊合并并分叉出 ETHW 后，Gnosis Omni Bridge跨链桥项目，由于合约代码中固定写死了chainID，而未真正验证当前所在链的chainID，导致合约在验证签名时能够在分叉链上验证通过。攻击者首先在 ETH 主网上通过omni Bridge 转移 WETH，随后将相同的交易内容在 ETHW 链上进行了重放，获取了等额的 ETHW。目前攻击者已经转移了 741 ETHW 到交易所。 Beosin 安全团队建议如果项目方合约里面预设了chainID，请先手动将chainId更新，即使项目方决定不支持ETHW，但是由于无法彻底隔绝通过跨链桥之间的资产流动，建议都在ETHW链上更新。

8月18日消息，BlockSec 发推称，DeFi 借贷协议 Exactly Protocol 被攻击的根本原因是 #insufficient_check，攻击者通过直接传递未经验证的虚假市场地址，并将 _msgSender 更改为受害者地址，从而绕过 DebtManager 合约杠杆函数中的许可检查。然后，在不受信任的外部调用中，攻击者重新进入 DebtManager 合约中的 crossDeleverage 函数，并从 _msgSender 种盗取抵押品。

金色财经消息，据CertiK官方推特发布消息称，Ara项目遭到闪电贷攻击。攻击者疑似获利约12.4万美元的BUSD。攻击者地址：0xF84efA8a9F7E68855CF17EAaC9c2f97A9d131366。