安全公司：CoFiXProtocol项目遭受价格操控攻击，攻击者获利约14万美元

[安全公司：CoFiXProtocol项目遭受价格操控攻击，攻击者获利约14万美元]据成都链安安全舆情监控数据显示，CoFiXProtocol项目遭受价格操控攻击。成都链安安全团队对此次攻击事件分析后，发现攻击者先从先闪电贷借出大量BSC-USD，再用BSC-USD兑换出DCU。然后攻击者通过利用Router合约的swapExactTokensForTokens没有校验to地址是否是msg.sender的漏洞，将对Router合约有大额授权的to地址中的BSC-USD经过BSC-USD -> DCU -> PRC的兑换路径兑换为RPC，导致LP中DCU的价格升高，最后通过前面兑换的DCU重新高价兑换成BSC-USD从而获利。目前攻击者实施了三次攻击，总计获利约145,491 BSC-USD（价值14万美元），已经兑换为BUSD并转移到攻击者的其他地址（0x5443...d7D6）中 。对此，成都链安安全团队建议用户在对合约授权时按需授权，授权值不要超过本次需要转移的代币的数量，避免因为过多授权造成意外损失。

其它快讯：

安全公司：目前SED项目资金池流动性几乎为0，SED代币失去价值:10月5日消息，NUMEN实验室根据链上数据监测，发现SED项目发生跑路事件，项目方先用大量的SED代币向池子进行兑换，换出一部分USDT，然后又移除了之前添加的流动性，目前资金池流动性几乎为0，相应的SED代币也失去了价值。

据悉，SED是异性社交平台SexDao发行的Token，该项目创始人由于与Token2049 网红小作文作者同名而在近期受到大量关注，目前官网和官方twitter已经无法访问。[2022/10/5 18:40:09]

安全公司：YFV项目勒索事件根本原因在于没有做好上线前的代码审计工作:今日早间，基于以太坊的一DeFi项目YFV发文称遭到勒索。攻击者利用staking的合约漏洞，可以任意重置用户锁定的YFV。并表示，此次事件可能和不久前的“pool0”事件相关，勒索者极有可能是在“pool0”事件中未取回资金的“愤怒的农民”。

成都链安分析称，合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押，此函数中的 lastStakeTimes“stakeFor”= block.timestamp; 语句会更新用户地址映射的laseStakeTimes“user”。而用户取出抵押所用的函数中又存在验证，要求用户取出时间必须大于lastStakeTimes“account”+72小时。

综上所述，恶意用户可以向正常用户抵押小额的资金，从而锁定正常用户的资金。根据链上信息，我们找到了两笔疑似攻击的交易，两笔交易都来自同一地址，且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。[2020/8/25]

安全公司Unit 42发现新恶意软件Lucifer 可用于恶意挖矿和DDoS攻击:安全公司Unit 42的研究人员发现一种新的恶意软件“Lucifer”正在传播，该软件是某种旧的加密货币勒索软件的变种。新的变体可用于恶意加密货币挖矿，但也可以用来进行DDoS攻击。（Guru 3d）[2020/6/27]

郑重声明： 安全公司：CoFiXProtocol项目遭受价格操控攻击，攻击者获利约14万美元版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。