10月27日，NUMEN实验室通过链上数据监控发现，UvToken项目遭到黑客攻击，黑客从此次攻击中获利了1078 BNB和1161991 BUSD，共计约150W美金。我们也是在第一时间对事件经过和资金流向做了分析和追踪，目前黑客已经通过Tornado.Cash进行资金转移。

项目方声明

项目方也在推特上对本次事件做了说明，并且已经让安全公司介入。

攻击相关地址

黑客地址：https://bscscan.com/address/0xf3e3ae9a40ac4ae7b17b3465f15ecf228ef4f760

黑客合约地址：

https://bscscan.com/address/0x99d4311f0d613c4d0cd0011709fbd7ec1bf87be9

权限合约地址：

https://bscscan.com/address/0x5ecfda78754ec616ed03241b4ae64a54d6705a1a#code

UVT奖励领取合约：

https://bscscan.com/address/0x36f277165c8b1b80cc3418719badb1864e2687bc#code

攻击交易：

https://bscscan.com/tx/0x54121ed538f27ffee2dbb232f9d9be33e39fdaf34adf993e5e019c00f6afd499

攻击过程

• 黑客首先用5个BNB兑换为313UVT代币并转入到了0x36f277165c8b1b80cc3418719badb1864e2687bc合约中。相关交易信息如下图所示：
• 然后调用权限合约地址中的0xc81daf6e函数，传入参数时将自己创建的合约地址作为两个参数传入，这样其中v4的值可以从黑客的合约中返回，返回的数量就是项目方领取奖励合约0x36f277165c8b1b80cc3418719badb1864e2687bc下的UVT余额。
• 权限合约的0xc81daf6e函数在里面同时又去调用了领取奖励合约中的0x7e39d2f8函数，这样权限验证也可以通过，然后将合约下的UVT代币全部转走。

资金流向：

目前黑客已经将所有获利的代币通过Tornado.Cash进行转移，NUMEN实验室也会持续关注资金动态。

总结：

针对本次攻击事件，NUMEN实验室提醒用户和项目方做好资产安全防护，对于项目中存在权限验证，call调用时要多方面做好安全测试和验证，以保证项目和资金安全。