安全公司：AurumNodePool合約遭受漏洞攻擊簡析

金色財經報道，據區塊鏈安全審計公司Beosin EagleEye監測顯示，2022年11月23日，AurumNodePool合約遭受漏洞攻擊。

Beosin分析發現由于漏洞合約的changeRewardPerNode函數未進行驗證，導致攻擊者可以調用該函數進行任意值設置。

攻擊者首先調用changeRewardPerNode函數將每日獎勵值設置成一個極大數，接下來調用claimNodeReward函數提取節點獎勵，而節點獎勵的計算取決于攻擊者設置的rewardPerDay值，導致計算的節點獎勵非常高。而在這一筆交易之前，攻擊者便通過一筆交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合約存入了1000AUR，創建了攻擊者的節點記錄，從而使得攻擊者能夠提取出該節點獎勵。最終攻擊者通過該漏洞獲得約50個BNB($14,538.04)。

其它快訊：

The Sandbox引入安全公司BrandShield以防止NFT欺詐:金色財經報道，元宇宙游戲公司The Sandbox已與在線威脅檢測公司BrandShield(BRSD)簽約，以確保其市場上加密錢包和NFT的安全。該公司表示，在2022年3月至4月的兩個月內，BrandShield移除了120個網絡釣魚網站和58個冒充元宇宙平臺的虛假社交媒體賬戶，使The Sandbox的經濟得以安全運行。（coindesk）[7/20/2022 9:57:05 AM]

安全公司：TheArmorsNFT項目的discord遭受黑客入侵:4月14日消息，BlockSec告警系統于4月13日上午10點02分發現TheArmorsNFT項目的的discord遭受攻擊，攻擊者正在擴散虛假NFTmin釣魚鏈接，請大家不要點擊任何可疑鏈接防止資金損失。[4/14/2022 10:08:50 PM]

安全公司：YFV項目勒索事件根本原因在于沒有做好上線前的代碼審計工作:今日早間，基于以太坊的一DeFi項目YFV發文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。并表示，此次事件可能和不久前的“pool0”事件相關，勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。

成都鏈安分析稱，合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押，此函數中的 lastStakeTimes“stakeFor”= block.timestamp; 語句會更新用戶地址映射的laseStakeTimes“user”。而用戶取出抵押所用的函數中又存在驗證，要求用戶取出時間必須大于lastStakeTimes“account”+72小時。

綜上所述，惡意用戶可以向正常用戶抵押小額的資金，從而鎖定正常用戶的資金。根據鏈上信息，我們找到了兩筆疑似攻擊的交易，兩筆交易都來自同一地址，且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。[8/25/2020 12:00:00 AM]