Beosin：Socket協議遭受攻擊者原因是call注入攻擊

金色財經報道，據Beosin旗下EagleEye安全風險監控、預警與阻斷平臺監測顯示，Socket協議遭受攻擊者call注入攻擊，導致大量授權用戶資金被盜。本次攻擊主要是由于Socket合約的performAction函數存在不安全的call調用。

該函數功能是調用者可以將WETH兌換為ETH，并且調用者需要通過WETH的call將轉入合約的WETH兌換為ETH，否則將不能通過余額檢查。按理說函數中的call調用只能調用WETH合約的withdraw函數，但是項目方未考慮到調用者轉入的WETH數量為0的情況，導致調用者可以在call中去調用其他指定函數，并且能通過余額檢查。

攻擊者通過構造calldata，調用任意代幣的transferfrom，將其他用戶授權給該合約的代幣轉移到攻擊者地址。目前攻擊者將被盜資金兌換為ETH，并保存在攻擊者地址上，Beosin將對資金進行持續監控。

其它快訊：

周杰倫加持的NFT項目“幻象熊”PhantaBear交易額被“隱形人”Invisible Friends超越:金色財經報道，據最新數據顯示，周杰倫加持的NFT項目“幻象熊” PhantaBear 交易額已被“隱形人”Invisible Friends超越。本文撰寫時，PhantaBear 交易額為104,000,107美元，交易量16,415 筆，“隱形人”Invisible Friends交易額為 104,988,396 美元，交易量9,205筆。目前“隱形人”NFT系列中交易額最高的分別為：Invisible Friends#1125（200 ETH）、Invisible Friends#1001（110 WETH）、Invisible Friends#4672（110 ETH）、Invisible Friends#2165（110 WETH），此前NBA 球星凱里·歐文曾在社交媒體上曬出 Invisible Friends #4818。[4/8/2022 10:05:23 PM]

Marty Bent：新型采礦方案可減少石油和天然氣浪費:加密評論員Marty Bent在最新的播客節目中表示，自去年以來，他一直在美國礦業公司(GAM)開采比特幣，利用開采石油的副產品產生的多余氣體來驅動鉆井平臺。他說，這種方案實際上減少了石油和天然氣（O&G）領域的浪費。此外，Bent還認為，比特幣開采需要在地理上進一步分布，中國目前主導著加密貨幣的開采，開采比特幣對美國石油和天然氣行業來說是一個巨大的經濟機遇，他有信心在未來五年內看到這一愿景的實現。（Cointelegraph）[4/16/2020 12:00:00 AM]

聲音 | Beosin預警：Mercatox交易所再次遭hard_fail攻擊:成都鏈安態勢感知系統Beosin Eagle Eye檢測到，今日晚上7點左右攻擊mercatox交易所的黑客于晚上10:23時再次對該交易所發起（hard_fail）攻擊，并獲利500多EOS。成都鏈安提醒各大交易所，近日來不斷有黑客嘗試用(hard_fail)攻擊手法來試探各大交易所，各大交易所需做好防護措施。[3/15/2019 12:00:00 AM]