Beosin：Themis Protocol被攻擊事件分析

據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，2023年6月28日DeFi借貸協議Themis Protocol遭到攻擊，攻擊者獲利約37萬美元，Beosin Trace追蹤發現已有130,471個USDC、58,824個USDT和94個ETH被盜，目前，被盜資金被轉移到以太坊的0xDb73eb484e7DEa3785520d750EabEF50a9b9Ab33地址。其攻擊的原因在于預言機實現存在問題，導致預言機被操縱。

攻擊交易為：0xff368294ccb3cd6e7e263526b5c820b22dea2b2fd8617119ba5c3ab8417403d8。攻擊的核心是攻擊者在借款前，用大量WETH兌換wstETH，使得預言機獲取價格時被操縱，導致攻擊者僅用55WETH借出317WETH。

如圖，在getAssetPrice函數調用Balancer: Vault.getPoolTokens函數時，wstETH與ETH數量從正常的2,423 : 2,796被操縱為0.238 : 42,520.從而操縱了預言機。

其它快訊：

Beosin：Base鏈RocketSwap被攻擊是因部署者私鑰泄露:金色財經報道，據Beosin輿情監測顯示，RocketSwap_Labs由于部署者私鑰發生泄露，導致Base鏈上部署的farm合約中的資產轉移至攻擊者賬戶中，現項目方已關閉fram合約。

攻擊者現將盜取的資產兌換成472ETH，并通過Stargate bridge從base鏈跨鏈至以太坊。目前資金存放在攻擊者賬戶及其創建的uniswap V2 LoveRCKT池子中。[2023/8/15 21:23:59]

Beosin：SheepFarm項目遭受攻擊事件簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，BNB鏈上的SheepFarm項目遭受漏洞攻擊，Beosin分析發現由于SheepFarm合約的register函數可以多次調用，導致攻擊者0x2131c67ed7b6aa01b7aa308c71991ef5baedd049多次利用register函數增大自身的gems，再利用upgradeVillage函數在消耗gems的同時累加yield屬性，最后調用sellVillage方法把yield轉換為money后再提款。本次攻擊導致項目損失了約262個BNB，約7.2萬美元。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶，將持續關注資金走向。[2022/11/16 13:10:39]

Beosin：XaveFinance項目遭受黑客攻擊事件分析:金色財經報道，據Beosin EagleEye平臺監測顯示，XaveFinance項目遭受黑客攻擊，導致RNBW增發了1000倍。攻擊交易為0xc18ec2eb7d41638d9982281e766945d0428aaeda6211b4ccb6626ea7cff31f4a。Beosin安全團隊分析發現攻擊者首先創建攻擊合約0xe167cdaac8718b90c03cf2cb75dc976e24ee86d3，該攻擊合約首先調用DaoModule合約0x8f90的executeProposalWithIndex()函數執行提案，提案內容為調用mint()函數鑄造100,000,000,000,000個RNBW，并將ownership權限轉移給攻擊者。最后黑客將其兌換為xRNBW，存放在攻擊者地址上（0x0f44f3489D17e42ab13A6beb76E57813081fc1E2）。目前被盜資金還存放在攻擊者地址，Beosin Trace將對被盜資金進行持續追蹤。[2022/10/9 12:50:38]