EOS:Beosin：Gnosis Omni Bridge 跨鏈橋項目存在合約層面的重放漏洞_SIN

ForesightNews消息，Beosin安全團隊發現，在以太坊合并并分叉出ETHW后，GnosisOmniBridge跨鏈橋項目由于合約代碼中固定寫死了chainID，而未真正驗證當前所在鏈的chainID，導致合約在驗證簽名時能夠在分叉鏈上驗證通過。攻擊者首先在ETH主網上通過OmniBridge轉移WETH，隨后將相同的交易內容在ETHW鏈上進行了重放，獲取了等額的ETHW。目前攻擊者已經轉移了741ETHW到交易所。Beosin安全團隊建議如果項目方合約里面預設了chainID，請先手動將chainId更新，即使項目方決定不支持ETHW，但是由于無法徹底隔絕通過跨鏈橋之間的資產流動，建議都在ETHW鏈上更新。

Beosin：1月各類攻擊事件損失總金額約1464萬美元，較去年12月下降約77%:金色財經報道，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，2023年1月，各類安全事件涉及金額較2022年12月持續大幅下降。1月發生較典型安全事件超『19』起，各類攻擊事件損失總金額約1464萬美元，較去年12月下降約77%，比2022年任何一個月的損失金額都要低。

本月較大的安全事件為HECO生態跨鏈借貸平臺LendHub因沒有棄用舊合約而被攻擊，損失近600萬美元。此外，兩起個人錢包被盜事件損失均超過百萬美元，錢包的安全性問題依舊不容忽視。在黑客猖獗的2022年過去之后，2023開年的區塊鏈安全態勢總體相對平穩。本月針對項目方的攻擊事件呈下降趨勢，反倒是一些針對個人用戶錢包、社媒賬號的攻擊事件有所增加。Beosin建議個人用戶一定要提高防釣魚意識，規范操作。本月發生的典型跑路事件均是通過后門代碼進行Rug Pull，建議用戶在交互前一定要仔細查看相關的審計報告，避免資產遭受損失。[2023/1/31 11:38:34]

Beosin：Thoreum Finance項目被黑客攻擊，被盜資金約58萬美元:金色財經報道，據Beosin EagleEye 安全預警與監控平臺檢測顯示，Thoreum Finance項目被黑客攻擊，涉及金額約為58萬美元。由于ThoreumFinance項目方創建的未開源合約0x79fe的transfer函數疑似存在漏洞，當transfer函數的from和to地址相同時，由于使用臨時變量存儲余額，導致給自己轉賬時，余額會成倍增加，攻擊者重復操作多次，最終獲利2000BNB。

Beosin安全團隊通過Beosin Trace進行追蹤，發現被盜資金已全部轉入tornado cash。[2023/1/19 11:21:19]

Beosin：黑地址FTX Accounts Drainer已對大額資產進行兌換轉移跨鏈等操作:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，截止2022年11月15日，黑地址FTX Accounts Drainer(0x59AB...32b)已對大額資產進行兌換轉移跨鏈等操作。

目前大部分資金位于賬戶FTX Accounts Drainer的ETH平臺，約228,523 個ETH($288,934,108)和8,184 個PAXG($14,395,174)。BSC平臺約108,454 個BNB($29,962,644) 和1,685,309 個DAI($1,686,562) 。

其他部分資金位于ETH上的FTX Accounts Drainer 2賬戶上，約1999.4 個PAXG($3,516,404)，FTX Accounts Drainer 3賬戶上約499 個PAXG($878,114)，FTX Accounts Drainer 4賬戶上約499 個PAXG($878,114)，其它鏈上的資產目前尚無異動，Beosin Trace將持續對黑地址異動進行監控。[2022/11/16 13:09:37]

Tags：EOSSINETHAINEOS原力singularpointVETH價格Locus Chain

火幣下載