2022年4月17日,成都链安链必应-区块链安全态势感知平台舆情监测显示,算法稳定币项目BeanstalkFarms遭黑客攻击,黑客获利近8000万美元,成都链安技术团队第一时间对事件进行了分析,结果如下。
#1事件相关信息
攻击交易
0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7
攻击者地址
0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4
攻击合约
0x79224bC0bf70EC34F0ef56ed8251619499a59dEf
被攻击合约
0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5
Web3风投公司Red Beard Ventures完成2500万美元融资:金色财经报道,Web3 风险投资公司Red Beard Ventures完成一轮2500万美元的融资,投资方包括a16z的Marc Andreessen和Chris Dixon、Web3游戏巨头Animoca Brands、NFT平台SuperRare等知名Web3参与者。
新一轮融资旨在加速 Web3 技术的采用,并支持启动名为 Denarii Labs 的代币经济学加速器项目,该项目是与 Horizen Labs Ventures 的联合倡议。该计划将专注于为那些启动代币项目的人提供咨询服务、每周教育课程、指导、启动支持等。[2023/5/16 15:06:52]
#2攻击流程
1.攻击者从攻击的前一天发起了提案交易,提案通过会提取Beanstalk:BeanstalkProtocol合约中的资金。
匿名币Beam发布Web钱包1.0.0测试版本:8月5日晚间,匿名币Beam官方发布Web钱包1.0.0测试版本。该版本以Chrome扩展形式发布,使Beam更易于访问非托管钱包服务,以及该版本支持第三方集成。[2020/8/6]
2.黑客通过闪电贷换取了350,000,000个DAI,500,000,000个USDC,150,000,000个USDT,32,100,950个BEAN和11,643,065个LUSD作为资金储备。
Beam将在6月28日硬分叉 进军DeFi隐私领域:隐匿币Beam将在6月28日迎来第二次分叉,此次分叉将带来Beam在DeFi隐私领域的亮相。
硬分叉后,Beam会产生一种新的代币,名为“Beam CA”,作为网络中的独立代币运行。CA将与多种资产联系在一起,包括黄金这样的大宗商品和ETH这样的加密货币。届时,锁仓3000枚Beam(约合1400美元)的用户将有机会获得CA。
Beam项目的CTO Alex Romanov表示“作为在Beam区块链上构建一个保密DeFi平台的一部分,我们会推出基于MimbleWimble协议的侧链,也会整合许多无脚本智能合约,以支持托管、担保债务头寸、多方交易和基于预言机的结算。”(BitcoinExchangeGuide)[2020/6/27]
3.黑客将2步骤的DAI,USDC,USDT资金在Curve.fiDAI/USDC/USDT交易池中添加为979,691,328个3Crv流动性代币,用15,000,000个3Crv换来15,251,318个LUSD。
声音 | BeatzCoin CCO呼吁孙宇晨启动TRX销毁 以保证供应量不超过1000亿:BeatzCoin CCO Misha Lederman发推称:“2018年6月26日,波场基金会焚毁了10亿枚TRX,以保持TRX总供应低于1000亿。但同时,超级代表(SR)奖励开始启动并导致总供应量增加。2020年2月2日,TRX的总供应量再次超过了1000亿。孙宇晨,是时候再次焚毁TRX了。”[2020/2/4]
声音 | Status开发人员: Beacon测试网将很快推出:据trustnodes报道,以太坊2.0至少两个客户端的开发人员正在完成PoS Beacon链测试网发布的准备工作。负责Nimbus客户端的Status开发人员Dustin Brody表示,测试网将很快推出。[2019/3/14]
4.将964,691,328个3Crv代币兑换为795,425,740个BEAN3CRV-f用于投票,将32,100,950个BEAN和26,894,383LUSD添加流动性得到58,924,887个BEANLUSD-f流动性代币。
5.使用4步骤中的BEAN3CRV-f和BEANLUSD-f来对提案进行投票,导致提案通过。从而Beanstalk:BeanstalkProtocol合约向攻击合约转入了36,084,584个BEAN,0.54个UNI-V2,874,663,982个BEAN3CRV-f以及60,562,844个BEANLUSD-f。
6.最后攻击者将流动性移除并归还闪电贷,把多余的代币兑换为24830个ETH转入攻击者账户中。
#3漏洞分析
本次攻击主要利用了投票合约中的票数是根据账户中的代币持有量得到的。
攻击者至少在一天前发起提取Beanstalk:BeanstalkProtocol资金的提案,然后调用emergencyCommit进行紧急提交来执行提案,这个就是攻击者1天之前发起攻击准备的原因所在。
#4资金追踪
截止发文时,攻击者获利22029601个USDC,14742429个DAI,6,603,829个USDT与0.5407个UNI-V2,640224美元的BAEN代币资金近8000万,在攻击时将其中的25万USDC捐赠了乌克兰,之后攻击者将资金转换为ETH并将资金持续向Tornado.Cash转移。
针对本次事件,成都链安技术团队建议:
1.投票所用资金应在合约中锁定一定时间,避免使用账户的当前资金余额来统计投票数量,以避免可能出现的反复投票以及使用闪电贷进行投票;
2.项目方和社区应关注所有提案,如果提案是恶意提案,建议在提案投票期间应及时做出处理措施,将提案废弃,禁止其接受投票以及执行;
3.可考虑禁止合约地址参与投票;此外项目上线前最好进行全面的安全审计,规避安全风险。
近日,艾贝链动与边界智能建立战略级合作伙伴关系。通过发挥各自在区块链领域的产品技术能力与生态优势,共同为全球范围内持牌合规数字金融机构提供更安全可信的数字金融基础设施;同时,在元宇宙发展的大趋势下,共同服务实体经济,赋能传统企业数字化.
1900/1/1 0:00:002022年2月11日至2月20日,为期10天的ETHDenver会议在美国丹佛市顺利落幕。这是目前规模最大、持续时间最长的ETH活动.
1900/1/1 0:00:003月大量ETH从Bitfinex转出根据WhaleAlert数据显示,24小时内有大量的以太坊从Bitfinex交易所转出。据欧科链讯统计,截至发文,大额转账次数共9笔,共计228650枚ETH,总价值约合7.78亿美元.
1900/1/1 0:00:00简介 Curve协议,一种基于以太坊平台的去中心化交易所,主要聚焦于稳定币、封装资产等的交易。相对于其他DEX,Curve提供的交易对更集中,拥有极低的滑点和手续费,可以满足巨额的资产交易需求.
1900/1/1 0:00:004月15日晚8时,APENFTMarketplace全球线上发布会准时开幕。波场TRON创始人孙宇晨先生作为嘉宾分享了对于刚刚主网上线的APENFTMarketplace的一些看法,以及他将“猴首”NFT放到APENFTMarketp.
1900/1/1 0:00:00Qredo宣布8千万美元A轮融资,由10THoldings领投,Coinbase,Avalanche和Terra战略投资.
1900/1/1 0:00:00