Phalcon

Phalcon

148個推特粉絲

關注

Security Development Suite for DeFi Projects. Powered by @BlockSecTeam Phalcon Browser: http://phalcon.xyz

動態

更新與更正：第二起 LZMultiCall 事件源自於使用者誤用，而非協定漏洞。該設計本身運作正常（見圖）。攻擊者利用了這個用戶錯誤來竊取資金。 twitter.com/Phalcon_xyz/status...

據報道，.@HoldstationW 因項目錢包被盜而遭受損失，估計損失約為 10 萬美元。價值約 6.6 萬美元的多種資產，包括 #WLD、#USD1、# BNB和 #BERA，在 World Chain、BSC、Berachain 和 zkSync 上被盜，集中到以太坊（22.41 ETH），並最終橋接到比特幣（0.755 BTC）。該團隊已發佈鏈上消息，並正在嘗試與攻擊者進行談判。

警報！我們的系統剛剛檢測到一筆針對#BSC上未知合約的可疑交易，造成約10萬美元損失。根本原因似乎是“銷燬對”設計缺陷。利用兩次反向交換進行攻擊： 1. 交換 1：從資金池中抽出 99.56% 的 PGNLZ 代幣，剩餘的數量大致與後來出售的數量相同。 2. 交易 2：賣出 PGNLZ；transferFrom 觸發銷燬（99.9% PGNLP）+ 同步，拉高 PGNLP 價格，然後利用操縱的倉位將幾乎所有USDT從資金池中抽走。 🟦 由 #PhalconSecurity 發現，🟦 通過 #PhalconExplorer 分析。

似乎： 1. 0x9cb8d9BaE84830b7f5F11ee5048c04a80b8514BA 屬於/與 @0xswapnet 相關：swapnet-1.gitbook.io/docs/refe...… 2. 0xbeef63AE5a2102506e8a352a5bB32aA8B30B3112 屬於/與 @ApertureFinance 相關：github.com/Aperture-Finance/un...… twitter.com/Phalcon_xyz/status...

據報道，@Sagaxyz__ 遭到攻擊，大量 Saga Dollar (D 代幣) 被鑄造。攻擊者將竊取的資產橋接到以太坊，一部分兌換成ETH （超過 2000 個ETH，價值超過 600 萬美元），其餘部分部署到Uniswap v4 LP 部位（價值超過 80 萬美元）。總價值超過 680 萬美元。攻擊原因尚不清楚，區塊鏈已暫停交易進行調查。 sagaevm.sagaexplorer.io/addres...… etherscan.io/address/0x2044697...… twitter.com/Phalcon_xyz/status...

. @makinafi 在以太坊上遭遇漏洞攻擊，導致損失 5,107,871 USDC。根本原因在於，`DUSDUSDC.getSharePrice()` 在計算 LP 資產價值時錯誤地依賴於資金池的現貨價格（即，使用函數 `Frax Finance: MIM-3LP3CRV-f Token.calc_withdraw_one_coin()` 獲取價格）。這使得攻擊者能夠操縱資金池的價格，人為地抬高 LP 的價值，從而實施套利攻擊。由 #PhalconSecurity 發現，通過 #PhalconExplorer 分析。

@SynapLogic 的合約似乎遭到了駭客攻擊，損失約為 18.6 萬美元。漏洞摘要：實作合約 0xC859 未能驗證 swapExactTokensForETHSupportingFeeOnTransferTokens (0x670a3267) 中的關鍵參數。此函數本應接受原生代幣支付 (msg.value) 並向買家鑄造 SYP。然而，攻擊者可以透過第三個輸入參數任意控制「白名單」邏輯，並指定任何白名單收益分成位址。更糟的是，該合約按比例分配原生代幣收益分成，但並未檢查總支付額是否超過實際支付額 (msg.value)。這使得攻擊者可以設定一個支付地址，使得分配的原生代幣數量大於實際支付額，從而在獲得新鑄造的 SYP 的同時，還能以原生代幣的形式提取利潤。

據報道，YO協議（@yield）在以太坊上遭遇了一次離奇的代幣互換：價值約384萬美元的stkGHO最終只變成了價值約12.2萬美元的USDC。團隊已採取措施，包括購買GHO並將stkGHO重新存入金庫。我們的調查顯示，這種差異可能是由兩個相互交織的因素造成的： 1. 發起方輸出報價錯誤，導致滑移保護失效。 2. executePath 參數導致異常路由。傳遞給 executePath 的路徑將交易路由到手續費極高、流動性極低的資金池，導致鉅額手續費被抽取，並對價格造成嚴重衝擊。 app.blocksec.com/explorer/tx/e...…

警報！我們的系統幾小時前檢測到一筆針對@futureswapx在Arbitrum上合約的可疑交易，估計造成約39.5萬美元的損失。我們已嘗試聯繫該團隊，但目前尚未收到回覆。攻擊者似乎通過多次 changePosition 操作竊取了資金，最終提取了大量USDC。由於該合約並非開源，確切的根本原因仍需進一步調查。根據鏈上行為，我們懷疑該事件可能與早期持倉更新期間穩定餘額的意外變動有關，這些變動導致在移除抵押品時USDC得以釋放。

Loading..