一文复盘Flurry Finance被攻击事件

北京时间2022年2月22日下午1:46，CertiK安全专家团队检测到与FlurryFinance相关的一系列可疑活动，FlurryFinance的Vault合约受到攻击，价值约29.3万美元的资产被盗。

下文CertiK安全团队将从合约地址及攻击操作等方面为大家进行详细的解读并分析。攻击步骤

攻击者部署了一个恶意Token合约，并为Token和BUSD创建了一个PancakeSwap交易对。攻击者：https://bscscan.com/address/0x0f3c0c6277ba049b6c3f4f3e71d677b923298b35恶意Token合约：https://bscscan.com/address/0xb7a740d67c78bbb81741ea588db99fbb1c22dfb7PancakeSwap交易对：https://bscscan.com/address/0xca9596e8936aa8e902ad7ac4bb1d76fbc95e88bb攻击者从Rabbit的Bank合约中进行闪电贷，并触发了StrategyLiquidate的execute方法。execute方法将输入数据解码为LPToken地址，并进一步得到恶意Token合约地址。攻击者利用恶意Token合约中的攻击代码发起初步攻击：https://bscscan.com/address/0xbeeb9d4ca070d34c014230bafdfb2ad44a110142StrategyLiquiddate合约：https://bscscan.com/address/0x5085c49828b0b8e69bae99d96a8e0fcf0a033369

香港立法会议员吴杰庄：预算案内容体现了港府对于Web3发展的决心:金色财经报道，2月22日，由Meta Era主办、OKX协办的「香港概念暴涨，神秘东方力量崛起」Twitter Space正式开启，特邀香港立法会议员、高等学府、香港机构代表协同Web3行业代表肖风、Jack孔、孙宇晨、杜均等全面解读香港新财政预算案科技和经济政策。

吴杰庄对于预算案中的几个重点内容进行了解读。对于预算案中的“Web3同样潜力庞大”，吴议员认为这代表港府看到了Web3的无限潜力。对于“与时并进”，吴议员指出这代表港府愿意去学习新的东西，并去配合发展。对于“Web3生态圈”，吴议员认为Web3行业内有各种赛道，港府也是想要聚集行业赛道人员，打造Web3生态圈。吴议员特别强调了预算案中的“推动跨界别业务合作”，表示这也是Web3破圈的契机。对于“成立虚拟资产发展小组”，吴议员指出香港的发展小组都有自己的任务和期限，并且需要展示成果，这也体现了港府对于Web3发展的决心。最后，吴议员表示港府想要的Web3发展是如预算案中说的“可持续、负责任地发展。”[2023/2/22 12:23:21]

CZ：币安“提款略有增加”，但还没看到50%的资金从平台流出:金色财经报道，币安首席执行官赵长鹏在最新Twitter Space采访中表示FTX 崩盘后数字资产价格下跌，但该加密货币交易所的提款量仅略有上升，并且运营正常，与加密市场下跌期间的典型活动一致。赵长鹏说道：“每当价格下跌时，我们就会看到提款量增加，这很正常。我们还没有看到 80% 的资金从我们的冷钱包中提取，或者 50% 的资金从我们的平台流出，而其他一些平台可能会发生这种情况，对我们来说，一切照旧。”（CNBC）[2022/11/15 13:05:15]

恶意Token合约调用FlurryRebaseUpkeep合约的performUpkeep方法，对Vault合约的相关金额进行重新统计，并更新了与之相关的RhoToken的multiplier。此处的multiplier将用于RhoToken的余额计算。对Vault合约的相关金额进行重新统计，并更新了与之相关的RhoToken的multiplier。此处的multiplier将用于RhoToken的余额计算。该更新基于与Vault合约相关的盈利策略合约里的余额。更新是在闪电贷的过程中触发的，此时的闪电贷还未结束，借出的金额也还未归还，因此Bank合约的当前余额远小于正常值。此Bank合约也是某个strategy的一部分，因而使得某strategy的余额小于正常值，进一步导致multiplier小于正常值。FlurryRebaseUpkeep合约：https://bscscan.com/address/0x10f2c0d32803c03fc5d792ad3c19e17cd72ad68b其中一个Vault的合约：https://bscscan.com/address/0xec7fa7a14887c9cac12f9a16256c50c15dada5c4

桑坦德银行向巴西央行提出资产代币化项目以改善该国CBDC用例:10月24日消息，总部位于西班牙的桑坦德银行向巴西央行提出了一个项目，将资产代币化与拟议中的巴西加密货币“数字雷亚尔”结合使用，以促进房地产交易。该提案是巴西央行挑选的一系列项目的一部分，旨在为该国数字货币寻找合适的用例，预计将于2024年推出。

据悉，桑坦德银行正在使用来自另一家公司Parfin的技术，在交易中使资产的产权通证化，同时管理货币的交易，该项目的目标是通过该平台简化不同类型财产的交易流程。[2022/10/24 16:36:56]

链游平台Gala Games与Unity达成2000万美元专业服务协议:6月9日消息，链游平台 Gala Games 宣布与游戏引擎供应商 Unity Technologies 达成一项 2000 万美元的专业服务协议。根据这项交易，Unity 将利用其开发和实时 3D 平台方面的专业知识，支持 Gala Games 开发其元宇宙项目“VOXverse”。（Venture Beat）[2022/6/10 4:15:14]

攻击者归还了闪电贷的款项并完成了初步攻击，且为进一步攻击获利做好了准备。在紧接着的交易中，攻击者以前一次交易中得到的低multiplier存入Token，将multiplier更新为更高的值，并以高multiplier提取Token。例如，在其中一笔初步攻击的交易中，multiplier被更新为4.1598e35。

人民科技发行《人民日报》新中国第一个青年节头版数字藏品:金色财经报道，人民网唯一技术子公司人民网科技(北京)有限公司 发行《人民日报》新中国第一个青年节头版数字藏品，当天报纸头版报道了中国、苏联等国家共青团的发展情况，是非常珍贵的历史资料，在共青团的发展史上也是重要的一页。目前，该数字藏品已在数藏中国上架，珍贵体现着新中国第一个五四青年节的历史，具有极高的收藏价值和文化价值。（中国网）[2022/5/4 2:49:40]

在进一步攻击的交易中multiplier被更新为4.2530e35。

攻击实例：https://bscscan.com/tx/0x923ea05dbe63217e5d680b90a4e72d5552ade9e4c3889694888a2c0c1174d830https://bscscan.com/tx/0x646890dd8569f6a5728e637e0a5704b9ce8b5251e0c486df3c8d52005bec52df因为multiplier乘数是决定RhoToken余额的因素之一：

攻击者的RhoToken余额在交易中增加了，所以ta能够从Vault中提取更多的Token。攻击者多次重复这一过程，从Vault合同中盗走了价值29.3万美元的资产。写在最后

该次事件主要是由外部依赖性引起的。因此CertiK的安全专家建议：项目在与外部合约交互之前应对其安全性有清晰的认知，并且限制外部依赖可能对自身合约的影响。本次事件的预警已于第一时间在CertiK官方推特进行了播报。

除此之外，CertiK官网已添加社群预警功能。在官网上，大家可以随时看到与漏洞、黑客袭击以及RugPull相关的各种社群预警信息。

标签：ULTTOKEKENTOKCatapult.acBituan TokenUndo TokenDog Club Token

火币交易所热门资讯