黑客攻击事件 算法稳定币项目Beanstalk Farms被盗损失达1.82亿美元

2022年4月17日，算法稳定币项目Beanstalk DAO遭受黑客攻击，损失已达1.82亿美元，包括7900多万BEAN3CRV-f、163万BEANLUSD-f、3600万BEAN和0.54个UNI-V2_WETH_BEAN。启动入侵的初始资金已被撤回至Synapse Protocol，且大部分收益都被存入Tornado.cash。目前，该项目稳定币BEAN价格已经从约1美元跌至0.136美元，跌幅达86%。

BeanStalk是一个分散的基于信用的稳定币协议。该协议由三个相互连接的组件组成：去中心化价格预言机、去中心化治理系统和去中心化信贷工具。根据该项目的白皮书介绍，BeanStalk使用动态挂钩维护机制，定期将1Bean（Beanstalk ERC-20标准稳定币）的价格超过其价值挂钩，而无需集中化或抵押要求。

以太坊社区成员提出ERC 7265标准以缓解DeFi黑客攻击:金色财经报道，以太坊社区成员提出了一个新的标准，以提高去中心化金融（DeFi）协议的安全性。被称为ERC(以太坊征求意见)7265的拟议标准将启用“断路器\"。

Fluid Protocol的Meir Bank表示，ERC 7265 允许团队创建一个断路器来保护他们的协议，并为每项资产提供高度定制的速率限制参数。当发生黑客攻击时，攻击者将无法再在几秒钟内耗尽整个合约。大部分资金都可以收回。[2023/7/4 22:17:10]

此次攻击事件距离Axie Infinity 遭到黑客攻击损失6.25亿美元还不到一个月时间，Beanstalk受到了巨大的损失。这次的黑客攻击或源于前一天通过的BIP18，BIP18导致使用治理特权来抽干资金池的精心设计的代码来执行，黑客利用了Beanstalk的“投票合约中的票数是根据账户中的代币持有量来得到的”这一闪电贷漏洞完成了这次的攻击，并将获利的部分USDC转入了乌克兰加密捐赠地址。

Moonbirds创始人钱包遭黑客攻击，25枚Chromie Squiggles被盗:1月26日消息，NFT项目Moonbirds创始人凯文·罗斯（Kevin Rose）发布推文表示，其个人钱包遭到黑客攻击，共丢失25枚Chromie Squiggles以及其它NFT（约合150万美元）。

Rose表示在被盗NFT被标记之前，建议用户避免购买任何Chromie Squiggles。Chromie Squiggles是Art Blocks的创始人Erick Calderon（又名Snowfro）推出的第一款生成NFT项目。截止发稿，Chromie Squiggles在NFT交易市场OpenSea地板价为13.3ETH，总交易额为60,475枚ETH。[2023/1/26 11:30:31]

下面Armors Company Limited来具体分析一下黑客的攻击过程。

安全团队：EGD_Finance遭受黑客攻击，代币价格被闪电贷操控:8月8日消息，据慢雾区消息，BSC上的EGD_Finance项目遭受黑客攻击，导致其池子中资金被非预期的取出。慢雾安全团队进行的分析如下：

1.由于EGD_Finance合约中获取奖励的claimAllReward函数在计算奖励时会调用getEGDPrice函数来进行计算EGD的价格，而getEGDPrice函数在计算时仅通过pair里的EGD和USDT的余额进行相除来计算EGD的价格

2.攻击者利用这个点先闪电贷借出池子里大量的USDT，使得EGD代币的价格通过计算后变的很小，因此在调用claimAllReward函数获取奖励的时候会导致奖励被计算的更多，从而导致池子中的EGD代币被非预期取出

本次事件是因为EGD_Finance的合约获取奖励时计算奖励的喂价机制过于简单，导致代币价格被闪电贷操控从而获利。[2022/8/8 12:09:04]

黑客从攻击的前一天发起了交易提案，提案通过以后将会从Beanstalk: Beanstalk Protocol合约中提取资金。首先黑客通过闪电贷换取了3.5亿个DAI、5亿个USDC、1.5亿个USDT、3200万个BEAN和1100万个LUSD作为资金储备。再将这些资金在Curve.fi 对应交易对的交易池中添加为3Crv流动性代币，总量达到9.8亿个。接着用1500万个3Crv兑换成LUSD。又将3Crv代币兑换为BEAN3CRV-f用于投票，把3200万个BEAN和近2700万个LUSD添加流动性，这样就成功得到5900万个BEANLUSD-f流动性代币。

360安全团队发现某种以太坊ERC-20智能合约存在漏洞，随时可能受到黑客攻击:昨晚360安全团队发现某种以太坊ERC-20智能合约存在漏洞，随时可能受到黑客攻击。在发现漏洞不久，360安全团队通过自研的监控平台发现有人欲通过智能合约的批量转账方式无限生成代币，经过与相关方的及时沟通现漏洞已修复，也提醒投资人投资有风险，应对投资标的保持清醒认知。360作为全球最大互联网安全企业，致力于提供区块链相关安全解决方案，为区块链行业客户及互联网用户提供安全保障。[2018/5/19]

接着，黑客用BEAN3CRV-f和BEANLUSD-f来对提案发起投票，然后调用emergencyCommit进行紧急提交来执行提案，从而导致提案通过。经过以上一系列的操作，3600万个BEAN、8.75亿个BEAN3CRV-f、6000万个BEANLUSD-f以及0.54个UNI-V2，通过Beanstalk: Beanstalk Protocol合约转入了攻击合约。最后黑客将流动性移除并归还闪电贷，把多余的代币兑换为近2.5万个ETH持续转移至Tornado.Cash。

交易详细信息如图所示：

ETH被分批发送到 Tornado.Cash ：

Armors安全在此提醒：

首先，还是要对项目代码的安全审计提高重视，建议找行业内正规的安全公司进行全方位的代码审计，并定期检查更新，可使用实时的安全监测服务，避免出现安全风险。其次，项目方应避免使用账户的当前资金余额来统计投票数量，投票所用资金应在合约中设定锁定时间，避免出现可能的反复投票或使用闪电贷进行投票。对于恶意提案，项目方和社区应提高关注度及警惕性，可考虑禁止合约地址参与投票，并设立预警机制，对于恶意提案，需及时作出预警和处理，禁止恶意提案的投票通过和执行。

Armors安全机构成立于2017年，是行业最早成立的专业区块链安全机构之一。Armors是Polygon、BSC、Ethereum、Solana等公链审计合作伙伴，已为超过2000家区块链平台、交易所、钱包、DApp等机构和项目提供安全审计、渗透测试、跨链迁移、平台安全等各方面保障及服务。成立以来，Armors已为客户挽回超过32000个BTC的资产损失。

标签：BEAUSDBEANSSTAbear币未来价格预测ATUSDBNBeanstalkPSTAR价格

MEXC热门资讯