blocksec

据 BlockSec 监测，其系统在 BSC 检测到一笔针对 MT-WBNB 资金池的可疑交易，预估损失约 24.2 万美元。原因在于买方限制机制存在缺陷：在通缩模式下，正常买入操作会回退，而路由器 / 交易对则被列入白名单，这使得攻击者可以通过路由器互换和流动性移除绕过限制，从该交易对获取 MT。攻击者随后出售 MT 以积累 pendingBurnAmount，并调用 distributeFees（）直接从交易对中销毁 MT，人为拉高价格，然后再将 MT 兑换回 WBNB 以获利。此外，一条允许前 0.2 MT 转账绕过买家限制的推荐规则，使得攻击者能够启动攻击。

针对 BlockSec 监测 Inverse Finance 疑似遭受攻击损失约 24 万美元资金，YAM Finance 在 X 平台发文回应表示，此次事件并非 Inverse 合约漏洞，而是与 LlamaLend 机制相关。根据其说明，攻击者在 LlamaLend 上针对 sDOLA 发起 "捐赠攻击"，将价格从约 1.188 sDOLA = 1 DOLA 推高至约 1.358 sDOLA = 1 DOLA，随后清算了几乎所有以 sDOLA 为抵押、借入 crvUSD 的用户头寸，目前尚未完全厘清为何抵押品价值上升反而触发清算，按常理应使用户远离清算线而非更接近。值得注意的是，此次价格异常的 "次级效应" 仍在持续，因此未在 LlamaLend 进行杠杆操作、仅持有 sDOLA 的用户账面收益约提升 14%。此外，DOLA 目前在二级市场交易价格较锚定值存在约 1% 的折价，部分社区成员建议借款用户可考虑在折价阶段偿还 DOLA 债务。

据 BlockSec 监测，Inverse Finance 疑似遭受攻击，损失约 24 万美元资金。해당 사건은 DOLA 가격 조작과 관련이 있을 수 있으며, 여러 사용자가 청산되었습니다. 현재 BlockSec는 관련 팀에 연락했지만 아직 응답을 받지 못했습니다.

블록체인 보안 기관 BlockSec 모니터링 결과, Base와 이더리움 네트워크의 FOOMCASH 계약이 모방 공격을 당했으며, 이는 이전 Veil Cash 취약점과 동일한 수법을 사용했습니다. 공격자는 검증 키 구성 오류로 인해 zkSNARK 증명을 위조하여 계약이 약 226만 달러의 누적 손실을 초래했습니다.그중 Base에서의 단일 공격 거래는 약 42.7만 달러의 손실을 발생시켰고, 이더리움에서의 약 183만 달러 관련 거래는 화이트 해커의 구출 작업으로 의심됩니다.

据 BlockSec 监测，账户抽象钱包 Holdstation 遭黑客攻击，多链资产被盗 10 万美元，黑客已将被盗资金转至比特币网络。Holdstation 팀은 체인 상 메시지를 발표했으며, 공격자와의 협상을 시도하고 있습니다.

BlockSec는 폐쇄형 계약의 중대한 취약점 분석을 발표했으며, 이들은 이더리움, Arbitrum, Base 및 BSC에 배포된 SwapNet 및 Aperture Finance의 피해 계약에 대한 일련의 의심스러운 거래를 감지했으며, 총 손실은 1,700만 달러를 초과합니다.근본적으로 이 두 사건의 원인은 매우 간단합니다. 피해 계약은 입력 검증 부족으로 인해 임의 호출 취약점이 존재하며, 공격자는 이 취약점을 이용해 기존의 토큰 승인을 남용하여 transferFrom을 통해 자산을 훔칠 수 있습니다.SwapNet과 Aperture Finance 사건은 서로 다른 프로토콜과 블록체인에 영향을 미쳤지만, 두 사건의 근본적인 문제는 복잡하지 않습니다: 사용자 제어의 기본 호출과 토큰 승인을 보유한 계약의 입력 검증 부족입니다.

BlockSec는 Bitget과 공동으로 연구 보고서 「AI × Trading × Security：스마트 거래 시대의 위험 진화 3.0」을 발표했습니다. 이 보고서는 AI 능력의 진화와 Web3와의 융합 경로를 중심으로, AI가 Web3 거래 효율성과 의사 결정 논리를 어떻게 재편성하는지를 체계적으로 분석하고, AI 시대 Web3의 공격 및 방어 형태의 진화 추세와 새로운 보안 패러다임을 추가로 탐구합니다. 동시에, 보고서는 위험 관리, 자금 세탁 방지 및 위험 식별 등 여러 차원에서 AI가 Web3 보안 시스템 내에서의 적용 방향과 현실적인 도전을 정리합니다.구체적인 사례 분석에서, 보고서는 Bitget이 출시한 GetAgent를 예로 들어, 그것이 보다 일반적인 거래 정보 및 투자 자문 보조 도구에 더 가깝다고 지적합니다. GetAgent는 전통적인 의미의 대화형 로봇이 아니라, 거래자가 복잡한 유동성 환경에서 사용하는 "두 번째 두뇌"입니다. 그 핵심 논리는 AI 알고리즘과 실시간 다차원 데이터의 깊은 융합을 통해 데이터, 전략 및 거래 실행을 연결하는 완전한 폐쇄 루프를 구축하여, 사용자가 고빈도, 다변량 시장 환경에서 보다 효과적인 결정을 내릴 수 있도록 지원하는 것입니다.보고서 마지막에서는 Web3와 AI의 깊은 융합이 산업 발전의 중요한 추세가 되었으며, 안전, 리스크 관리 및 규제 능력이 이 추세를 지속적으로 추진하는 핵심 기반이라고 강조합니다. 보고서는 산업 내 다양한 기관이 기술, 거버넌스 및 보안 기준 구축을 협력하여 스마트 거래 시대의 건강하고 지속 가능한 발전을 함께 추진해야 한다고 강조합니다.

시장 소식에 따르면, 몇 시간 전 이더리움, Arbitrum, Base 및 BSC에 배포된 피해 계약을 대상으로 한 일련의 의심스러운 거래가 발견되었으며, 이 거래는 두 명의 생성자가 배포한 계약이 공격을 받았고, 총 손실액은 1,700만 달러를 초과합니다.피해 계약은 오픈 소스가 아니며, 임의 호출 기능의 취약점이 있는 것으로 보입니다. 공격자는 기존의 토큰 승인을 남용하여 transferFrom 작업을 수행하여 자산을 탈취했습니다. 영향을 받은 배포자: 0xbeef63AE5a2102506e8a352a5bB32aA8B30B3112------손실 약 367만 달러; 0x9cb8d9BaE84830b7F5F11ee5048c04a80b8514BA------손실 약 1,341만 달러.

블록체인 보안 기관 BlockSec는 Arbitrum에 배포된 FutureSwap 프로토콜이 4일 전 첫 공격을 받은 후, 다시 해커에 의해 재진입 취약점을 이용해 공격당해 약 7.4만 달러의 손실을 입었다고 발표했다.공격자는 3일 전 재진입 함수 0x5308fcb1을 통해 LP 토큰을 과도하게 발행한 후, 쿨다운 기간이 끝난 후 과도하게 담보된 자산을 상환하여 수익을 실현했다.

안전 기관 BlockSec 산하의 체인 온 추적 플랫폼 BlockSec Phalcon이 X 플랫폼에 게시한 내용에 따르면, "Balancer 및 그 여러 포크 프로젝트가 몇 시간 전 공격을 받아 여러 체인에서 1억 2천만 달러 이상의 손실이 발생했습니다. 이는 매우 복잡한 공격입니다.초기 분석에 따르면, 근본 원인은 공격자가 BPT 가격 계산에 대해 불변량 조작을 수행하여 BPT 가격 계산을 왜곡시켜 공격자가 특정 스테이블 코인 풀에서 단일 대량 거래를 통해 이익을 얻을 수 있도록 했습니다.Arbitrum에 대한 공격 거래를 예로 들면, 대량 교환 작업은 세 단계로 나눌 수 있습니다: 1. 공격자는 BPT를 기본 자산으로 교환하여 하나의 토큰 (cbETH)의 잔액을 정확하게 조정하여 반올림 경계에 가깝게 만듭니다 (금액 = 9). 이는 다음 단계의 정밀도 손실을 위한 조건을 만듭니다; 2. 공격자는 이후 미리 구성된 수량 (= 8)을 사용하여 다른 기본 토큰 (wstETH)과 cbETH 간에 교환합니다. 토큰 수량이 스케일링될 때 내림하여 계산되므로, 계산된 Δx가 약간 줄어들어 (8 0.918에서 8) Δy가 과소 평가되어 Curve의 StableSwap 모델에서 불변량 (D)도 줄어듭니다. BPT 가격 = D / 총 공급량이므로 BPT 가격이 인위적으로 낮아집니다; 3. 공격자는 기본 자산을 다시 BPT로 교환하여 균형을 회복하고 BPT 가격 하락으로부터 이익을 얻습니다.

블록체인 보안 회사 BlockSec가 소셜 미디어에 게시한 내용에 따르면, Balancer 및 여러 포크 프로토콜이 공격을 받았습니다. 손실 상황은 다음과 같습니다:이더리움 체인에서 Balancer 손실 7000만 달러;Base 체인에서 Balancer 손실 390만 달러;Polygon 체인에서 Balancer 손실 11.7만 달러;Sonic 체인에서 Beets 손실 340만 달러;Arbitrum 체인에서 Balancer 손실 590만 달러;Optimism 체인에서 Beethoven 손실 28.3만 달러.

ChainCatcher 메시지에 따르면, BlockSec 모니터링 결과, Base 체인에서 알려지지 않은 계약이 공격을 받아 약 21.9만 달러(55 WETH)의 손실이 발생했습니다. 공격 원인은 접근 제어 불량으로 의심되며, 이로 인해 임의로 transferFrom 함수를 호출할 수 있어 피해자가 승인한 자산이 도난당했습니다.

ChainCatcher 메시지에 따르면, 시장 소식에 의하면 Sharwa.Finance가 공격을 받았다고 밝혔으며, 이후 운영을 중단했습니다. 그러나 몇 시간 후 여러 건의 의심스러운 거래가 발생했으며, 공격자는 약간 다른 공격 경로를 통해 동일한 기본 취약점을 이용했을 가능성이 있습니다.전반적으로 공격자는 먼저 마진 계좌를 생성한 다음, 제공된 담보를 이용해 레버리지 대출로 더 많은 자산을 빌린 후, 빌린 자산과 관련된 교환 작업에 대해 "샌드위치 공격"을 시작했습니다.근본 원인은 MarginTrading 계약의 swap() 함수에 파산 검사 기능이 누락된 것으로 보이며, 이 함수는 빌린 자산을 한 종류의 토큰(예: WBTC)에서 다른 종류의 토큰(예: USDC)으로 교환하는 데 사용됩니다. 이 함수는 자산 교환이 실행되기 전에 교환 시작 시의 계좌 상태에 따라 지급 능력을 검증하기 때문에, 작업 과정에서 조작될 여지를 남깁니다.공격자 1(0xd356로 시작)은 여러 차례 공격을 감행하여 약 6.1만 달러를 이익을 얻었습니다. 공격자 2(0xaa24로 시작)는 한 차례 공격을 감행하여 약 8.5만 달러를 이익을 얻었습니다.

ChainCatcher 메시지에 따르면, BlockSec Phalcon이 공개한 바에 따르면, 그 시스템은 이더리움에서 두 개의 알려지지 않은 계약을 대상으로 한 여러 건의 의심스러운 거래를 감지하여 약 12만 달러의 손실을 초래했습니다. 공격자는 피해 계약의 approveERC20 및 withdrawAll 주요 함수에서 접근 제어의 취약점을 이용하여 계약 내의 토큰을 성공적으로 인출했습니다. 이러한 피해 계약은 오픈 소스가 아니며, 모두 동일한 주소에 의해 배포되었습니다.

ChainCatcher 메시지에 따르면, 시장 소식에 의하면 BlockSec Phalcon 경고가 있으며, 그 시스템이 "transferFrom" 문제를 감지하여 Base 체인에서 약 9만 달러의 손실이 발생했습니다.이 문제는 접근 제어 부족으로 인해 콜백 함수에 임의의 저수준 호출이 존재하게 된 것입니다. 알려지지 않은 계약 0xD9f4a3238154ff6439e37F98c9B11489353715Bb에 대한 모든 승인을 즉시 철회할 것을 권장합니다.

ChainCatcher 메시지에 따르면, BlockSec Phalcon(@Phalcon_xyz)이 모니터링한 결과, 이더리움 네트워크에서 Bunni 프로토콜(@bunni_xyz) 계약에 대한 의심스러운 거래가 발견되어 약 230만 달러의 손실이 발생했습니다.

ChainCatcher 메시지에 따르면, Web3 보안 회사 BlockSec 시스템 모니터링 결과, BSC 생태계에서 D3XAT이라는 계약이 공격을 받은 것으로 의심되며, 현재 예상 손실액은 16만 달러에 달합니다.해당 계약이 오픈 소스는 아니지만, 초기 분석에 따르면 현물 가격 의존성으로 인해 가격 조작의 가능성이 있는 것으로 보입니다.

ChainCatcher 메시지에 따르면, 암호화 보안 연구 기관 BlockSec Phalcon이 공개한 바에 따르면, Resupply 프로토콜이 공격을 받아 약 950만 달러의 손실이 발생했습니다.

ChainCatcher 메시지, 블록체인 보안 회사 BlockSec가 소셜 미디어에 게시한 내용에 따르면, 그들의 시스템이 분산형 스테이블코인 프로토콜 Usual(USUAL)에 대한 해킹 공격을 감지했으며, 해당 프로토콜은 현재 중단된 상태입니다.