安全團隊：EGD Finance遭閃電貸攻擊，因計算獎勵的喂價機制過于簡單_REWARD

據慢霧區消息，BSC上的EGDFinance項目遭受黑客攻擊，導致其池子中資金被非預期的取出。慢霧安全團隊對此進行了分析，稱本次事件是因為EGDFinance的合約獲取獎勵時計算獎勵的喂價機制過于簡單,導致代幣價格被閃電貸操控從而獲利。具體分析如下：

安全團隊：SushiSwap項目疑似被攻擊，損失約334萬美元:金色財經報道，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，SushiSwap項目疑似被攻擊，損失約1800ETH，約334萬美元，Beosin安全團隊正在對本次事件進行分析，建議有對0x044b75f554b886A065b9567891e45c79542d7357合約授權的用戶盡快取消授權防止資金被盜。[2023/4/9 13:52:53]

1.由于EGDFinance合約中獲取獎勵的claimAllReward函數在計算獎勵時會調用getEGDPrice函數來進行計算EGD的價格,而getEGDPrice函數在計算時僅通過pair里的EGD和USDT的余額進行相除來計算EGD的價格。2.攻擊者利用這個點先閃電貸借出池子里大量的USDT,使得EGD代幣的價格通過計算后變的很小,因此在調用claimAllReward函數獲取獎勵的時候會導致獎勵被計算的更多,從而導致池子中的EGD代幣被非預期取出。

安全團隊：BNBChain上加密項目ORT被利用，黑客獲利約7萬美元:金色財經報道，據區塊鏈安全審計公司Beosin監測顯示，BNBChain上的加密項目ORT被利用，黑客獲利約7萬美元。

其中黑客首先調用INVEST函數，這個函數會調用_Check_reward函數來計算用戶的獎勵，但是黑客的duration變量為0，所以會直接返回total_percent變量作為reward參數，然后黑客調用withdraw And Claim函數提取獎勵，獲取total_percent數量的ORT代幣，重復上述步驟獲利。[2023/1/17 11:16:00]

此外，據派盾預警監測，此次攻擊事件中已有3.6萬BUSD被盜。

安全團隊：The Fracture的Discord遭遇攻擊，攻擊者已獲利455枚SOL:5月23日消息，據派盾預警監測，NFT項目The Fracture的Discord遭遇攻擊，攻擊者已獲利455枚SOL。攻擊者賬號為7NVtp4vkZCNdvNimebKDQ8rpBzaA46U1MG9e8EsbGRTK。請勿與其Discord發送的鏈接及DM互動。[2022/5/23 3:35:11]

Tags：REWARDSINEOSWARBitRewards Coinsinoc幣行情Poker EOShardwaretoken

FTX