Foresight News 消息，据区块链安全审计公司 Beosin 旗下 Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，北京时间 5 月 14 日，DeFi 协议 land 疑似遭到攻击，损失约 15 万美元，Beosin Trace 追踪发现已有 149,616 枚 BUSD 被盗，目前，大部分被盗资金还在攻击者地址。

其攻击原因在于 mint 权限控制缺失。具体来说，（1）项目方存在几个 miner 地址可以 mint NFT，其中包含 0x2e599883715d2f92468fa5ae3f9aab4e930e3ac7 合约；（2）攻击者调用 0x2e599883715d2f92468fa5ae3f9aab4e930e3ac7 合约 mint 200 枚 NFT；（3）攻击者调用 0xeab03ad7ea0ac5afb272b592bef88cf93ed190c5 合约的 0x2c672a34 函数，用上一步铸造的 NFT 换取大量 XQJ 代币（每枚 NFT 兑换 200 XQJ），直到该合约无法换出 XQJ；（4）攻击者用 28,601 XQJ 兑换了 149,616 枚 BUSD；（5）攻击者再次 mint NFT 直到 NFT 发行上限，攻击结束后攻击者仍持有 733 枚 NFT。