Phalcon

Phalcon

148个推特粉丝

关注

Security Development Suite for DeFi Projects. Powered by @BlockSecTeam Phalcon Browser: http://phalcon.xyz

动态

更新与更正：第二起 LZMultiCall 事件源自于使用者误用，而非协定漏洞。该设计本身运作正常（见图）。攻击者利用了这个用户错误来窃取资金。 twitter.com/Phalcon_xyz/status...

据报道，.@HoldstationW 因项目钱包被盗而遭受损失，估计损失约为 10 万美元。价值约 6.6 万美元的多种资产，包括 #WLD、#USD1、# BNB和 #BERA，在 World Chain、BSC、Berachain 和 zkSync 上被盗，集中到以太坊（22.41 ETH），并最终桥接到比特币（0.755 BTC）。该团队已发布链上消息，并正在尝试与攻击者进行谈判。

警报！我们的系统刚刚检测到一笔针对#BSC上未知合约的可疑交易，造成约10万美元损失。根本原因似乎是“销毁对”设计缺陷。利用两次反向交换进行攻击： 1. 交换 1：从资金池中抽出 99.56% 的 PGNLZ 代币，剩余的数量大致与后来出售的数量相同。 2. 交易 2：卖出 PGNLZ；transferFrom 触发销毁（99.9% PGNLP）+ 同步，拉高 PGNLP 价格，然后利用操纵的仓位将几乎所有USDT从资金池中抽走。 🟦 由 #PhalconSecurity 发现，🟦 通过 #PhalconExplorer 分析。

似乎： 1. 0x9cb8d9BaE84830b7f5F11ee5048c04a80b8514BA 属于/与 @0xswapnet 相关：swapnet-1.gitbook.io/docs/refe...… 2. 0xbeef63AE5a2102506e8a352a5bB32aA8B30B3112 属于/与 @ApertureFinance 相关：github.com/Aperture-Finance/un...… twitter.com/Phalcon_xyz/status...

据报道，@Sagaxyz__ 遭到攻击，大量 Saga Dollar (D 代币) 被铸造。攻击者将窃取的资产桥接到以太坊，一部分兑换成ETH （超过 2000 个ETH，价值超过 600 万美元），其余部分部署到Uniswap v4 LP 部位（价值超过 80 万美元）。总价值超过 680 万美元。攻击原因尚不清楚，区块链已暂停交易进行调查。 sagaevm.sagaexplorer.io/addres...… etherscan.io/address/0x2044697...… twitter.com/Phalcon_xyz/status...

. @makinafi 在以太坊上遭遇漏洞攻击，导致损失 5,107,871 USDC。根本原因在于，`DUSDUSDC.getSharePrice()` 在计算 LP 资产价值时错误地依赖于资金池的现货价格（即，使用函数 `Frax Finance: MIM-3LP3CRV-f Token.calc_withdraw_one_coin()` 获取价格）。这使得攻击者能够操纵资金池的价格，人为地抬高 LP 的价值，从而实施套利攻击。由 #PhalconSecurity 发现，通过 #PhalconExplorer 分析。

@SynapLogic 的合约似乎遭到了骇客攻击，损失约为 18.6 万美元。漏洞摘要：实作合约 0xC859 未能验证 swapExactTokensForETHSupportingFeeOnTransferTokens (0x670a3267) 中的关键参数。此函数本应接受原生代币支付 (msg.value) 并向买家铸造 SYP。然而，攻击者可以透过第三个输入参数任意控制「白名单」逻辑，并指定任何白名单收益分成位址。更糟的是，该合约按比例分配原生代币收益分成，但并未检查总支付额是否超过实际支付额 (msg.value)。这使得攻击者可以设定一个支付地址，使得分配的原生代币数量大于实际支付额，从而在获得新铸造的 SYP 的同时，还能以原生代币的形式提取利润。

据报道，YO协议（@yield）在以太坊上遭遇了一次离奇的代币互换：价值约384万美元的stkGHO最终只变成了价值约12.2万美元的USDC。团队已采取措施，包括购买GHO并将stkGHO重新存入金库。我们的调查显示，这种差异可能是由两个相互交织的因素造成的： 1. 发起方输出报价错误，导致滑移保护失效。 2. executePath 参数导致异常路由。传递给 executePath 的路径将交易路由到手续费极高、流动性极低的资金池，导致巨额手续费被抽取，并对价格造成严重冲击。 app.blocksec.com/explorer/tx/e...…

警报！我们的系统几小时前检测到一笔针对@futureswapx在Arbitrum上合约的可疑交易，估计造成约39.5万美元的损失。我们已尝试联系该团队，但目前尚未收到回复。攻击者似乎通过多次 changePosition 操作窃取了资金，最终提取了大量USDC。由于该合约并非开源，确切的根本原因仍需进一步调查。根据链上行为，我们怀疑该事件可能与早期持仓更新期间稳定余额的意外变动有关，这些变动导致在移除抵押品时USDC得以释放。

Loading..