BlockSec： Unibot遭受攻击可能因0x126c合约中的函数0xb2bd16ab缺乏输入验证

7月10日消息，派盾（PeckShield）发推称，链上保证金协议Arcadia Finance被攻击是由于缺乏无信任的输入验证，黑客利用该漏洞从darcWETH和darcUSDC金库中提取资金。 此前报道，BlockSec旗下Phalcon发推称，Arcadia Finance在以太坊与Optimism上遭遇攻击，损失40万美元。

金色财经报道，BlockSec在社交媒体表示，系统检测到针对Barley Finance合约的攻击，可能需要采取进一步行动来防止额外损失。

金色财经报道，据Beosin旗下EagleEye安全风险监控、预警与阻断平台监测显示，Transit Finance项目遭到攻击，Beosin安全团队分析发现Transit Finance 的SwapRouter中的exactInputV3Swap函数由于缺乏对pool输入合法校验，导致被攻击。以0x93ae5...6de1081交易为例，攻击者传入伪造的pool和WBNB/BUSD池子路径、从而在第一次兑换中控制了actualAmountIn。导致SwapRouter将伪造的actualAmountIn作为在WBNB/BUSD池子中兑换的初始值，从而窃取了SwapRouter中的BUSD。

8月2日消息，据@0xfoobar发推称，跨链互操作性协议Nomad桥正在被黑客攻击，WETH和WBTC正以每次百万美元的频次转出，合约中仍有1.26亿美元可能存在风险。提醒用户尽快提取资金。最近的一次就有1万枚以太坊（约合1600万美元）转出，Nomad桥还有8000万美元的USDC正在流出。

5月14日消息，BlockSec发推称，SellToken再次遭遇攻击，根本原因是StakingRewards合约的Claim()函数没有正确验证输入参数，使得攻击者可以通过一个伪造的代币来获得更多的奖励。StakingRewards合约将其视为USDT，攻击者通过控制假代币和QiQi交易对，获得了超额奖励。

金色财经报道，据SlowMist在X平台发文表示，系统检测到0x452E2开头地址由于其uniswap V3 Swap Callback函数缺乏访问控制而损失27.3ETH。