安全团队：建议用户取消不同链上Sushiswap RouteProcessor2合约的授权

金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，2023年4月9日，

Sushiswap项目遭到攻击，部分授权用户资产已被转移。

根本原因是由于合约的值lastCalledPool重置在校验之前，导致合约中针对pool的检查失效，从而允许攻击者swap时指定恶意pool转出授权用户资金，以其中0xea3480f1f1d1f0b32283f8f282ce16403fe22ede35c0b71a732193e56c5c45e8为例：

1.攻击者在约30天前创建了恶意pool合约

2.调用SushiSwap的路由函数processRoute进行swap，指定了创建的恶意合约为pool合约

3.最后在swap后恶意合约调用uniswapV3SwapCallback，指定tokenIn为WETH，from地址为受害者用户地址(sifuvision.eth)，从而利用受害用户对路由合约的授权转移走资金。

建议用户取消不同链上Sushiswap RouteProcessor2合约的授权。

安全团队：BSC链上Level Finance被盗资金目前仍存放在攻击者地址内:金色财经报道，根据区块链安全审计公司Beosin旗下的Beosin EagleEye安全风险监控、预警与阻断平台监测显示，2023年5月2日BSC链上的Level__Finance 项目被攻击，损失资金高达一百万美元。通过分析代码得知，攻击者地址0x61bb...12e创建了攻击合约0xf08a...629，随后利用攻击合约调用了被攻击合约0x9770...63a的claimMultiple函数，由于被攻击合约在users奖励计算后没有进行对应的users账本清除，导致同一个epoch的claimed奖励可以被反复领取。攻击者多次调用函数使用同一个epoch来反复领取Level Token，随后将领取的Level Token在多个pair中swap成3345个BNB(约109万美元)，被盗资金目前仍存放在攻击者地址内(0x70319d1c09e1373fc7b10403c852909e5b20a9d5)，Beosin将持续对被盗资金监控。[2023/5/2 14:38:03]

安全团队：警惕假冒大V@DesLucrece账号和钓鱼链接:据官方推特消息，CertiK监测到某钓鱼网站：https://heymint[.]cc/deslucrece，该网站曾用推特账号@DezLucrece进行推广，而该推特账号正在模仿推特大V@DesLucrece，请注意区分，并不要与该钓鱼网站互动或批准任何交易！[2023/1/26 11:30:27]

安全团队：treasure swap项目方遭受攻击，攻击者累计获利3,945个BNB:6月11日消息，据成都链安安全社区消息，treasure swap项目方遭受攻击，根据成都链安技术团队分析，攻击者仅使用0.000000000000000001WETH就可将交易池中的WETH代币兑光，经对源码的逆向发现：被攻击合约的swap函数中缺少K值的校验。目前攻击者已完成对0xe26e436084348edc0d5c7244903dd2cd2c560f88和0x96f6eb307dcb0225474adf7ed3af58d079a65ec9两个合约的攻击，累计获利3,945个BNB，被盗资金仍在收益地址0x0FaCB17eFCb6cA6Ff66f272DE6B306DE9fb5931D上，成都链安链必追系统将持续监控被盗资金动向。[2022/6/11 4:18:31]

相关资讯