2022年4月17日,成都链安链必应-区块链安全态势感知平台舆情监测显示,算法稳定币项目Beanstalk Farms遭黑客攻击,黑客获利近8000万美元,成都链安技术团队第一时间对事件进行了分析,结果如下。
1 事件相关信息
攻击交易
0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7
攻击者地址
0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4
攻击合约
0x79224bC0bf70EC34F0ef56ed8251619499a59dEf
安全团队:SNK项目遭受攻击,黑客获利约19万美元:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,SNK项目遭受攻击(0x7394f2520ff4e913321dd78f67dd84483e396eb7a25cbb02e06fe875fc47013a),黑客利用SNK的邀请奖励机制获利19万美元,目前资金仍在黑客地址中0x7738B2f18d994C7c8Fa10E1FE456069624740f3e,Beosin Trace将持续对资金流向进行监控。[2023/5/10 14:54:01]
被攻击合约
0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5
2 攻击流程
安全团队:BNB Chain上加密项目ORT被利用,黑客获利约7万美元:金色财经报道,据区块链安全审计公司Beosin监测显示,BNBChain上的加密项目ORT被利用,黑客获利约7万美元。其中黑客首先调用INVEST函数,这个函数会调用_Check_reward函数来计算用户的奖励,但是黑客的duration变量为0,所以会直接返回total_percent变量作为reward参数,然后黑客调用withdraw And Claim函数提取奖励,获取total_percent数量的ORT代币,重复上述步骤获利。[2023/1/17 11:16:02]
1. 攻击者从攻击的前一天发起了提案交易,提案通过会提取Beanstalk: Beanstalk Protocol合约中的资金。
Visor Finance攻击事件报告:黑客获取了管理帐户访问权限:基于Uniswap V3的DeFi流动性协议Visor Finance就此前发生的攻击事件发布报告称,攻击者获得了一个管理帐户的访问权限,能够从尚未存入流动性提供者头寸的存款中提取资金。报告称,被盗金额约占其300万美元TVL的16.7%(约合50万美元),并证实该黑客并非团队成员,因此对其紧急提款保障措施缺乏充分了解,被盗资金仅限于未配置的资产。(BeInCrypto)[2021/6/21 23:53:12]
2. 黑客通过闪电贷换取了350,000,000个DAI,500,000,000个USDC,150,000,000个USDT,32,100,950个BEAN和11,643,065个LUSD作为资金储备。
动态 | Binance首席执行官赵长鹏否认黑客获取私人用户信息:据dailyhodl消息,加密货币交易所Binance首席执行官赵长鹏否认黑客获取私人用户信息的说法。赵赵长鹏说,最近在社交媒体上流传的关于黑客知道客户(KYC)数据的传闻是试图传播恐慌,并且交易所正在调查此事。Binance安全团队澄清“将这些数据与我们系统中的数据进行比较时存在不一致之处。目前没有提供证据表明任何KYC图像是从Binance获得的。”[2019/8/8]
3. 黑客将2步骤的DAI,USDC,USDT资金在Curve.fi DAI/USDC/USDT交易池中添加为979,691,328个3Crv流动性代币,用15,000,000个3Crv换来15,251,318个LUSD。
4. 将964,691,328个3Crv代币兑换为795,425,740个BEAN3CRV-f用于投票,将32,100,950个BEAN和26,894,383LUSD添加流动性得到58,924,887个BEANLUSD-f流动性代币。
5. 使用4步骤中的BEAN3CRV-f和BEANLUSD-f来对提案进行投票,导致提案通过。从而Beanstalk: Beanstalk Protocol合约向攻击合约转入了36,084,584个BEAN,0.54个UNI-V2,874,663,982个BEAN3CRV-f以及60,562,844个BEANLUSD-f。
6. 最后攻击者将流动性移除并归还闪电贷,把多余的代币兑换为24830个ETH转入攻击者账户中。
3 漏洞分析
本次攻击主要利用了投票合约中的票数是根据账户中的代币持有量得到的。
攻击者至少在一天前发起提取Beanstalk: Beanstalk Protocol资金的提案,然后调用emergencyCommit进行紧急提交来执行提案,这个就是攻击者1天之前发起攻击准备的原因所在。
4 资金追踪
截止发文时,攻击者获利22029601 个USDC ,14742429个 DAI,6,603,829个USDT与0.5407个UNI-V2,640224美元的BAEN代币资金近8000万,在攻击时将其中的25万USDC捐赠了乌克兰,之后攻击者将资金转换为ETH并将资金持续向Tornado.Cash转移。
针对本次事件,成都链安技术团队建议:
1. 投票所用资金应在合约中锁定一定时间,避免使用账户的当前资金余额来统计投票数量,以避免可能出现的反复投票以及使用闪电贷进行投票;
2. 项目方和社区应关注所有提案,如果提案是恶意提案,建议在提案投票期间应及时做出处理措施,将提案废弃,禁止其接受投票以及执行;
3. 可考虑禁止合约地址参与投票;此外项目上线前最好进行全面的安全审计,规避安全风险。
加州淘金热 以下是欧洲央行执行委员会成员法比奥·帕内塔在哥伦比亚大学的演讲170 年前,美国人向西穿越边境,在淘金热中寻找财富。贪婪和无法无天将这片应许之地变成了狂野西部,少数人利用了多数人的梦想.
1900/1/1 0:00:00以太坊因为PoW链在性能上的限制,在很早期就开始研究扩容方案。在L2的众多案例里,基于“证明”技术的两类方案脱颖而出,其也被以太坊奉为主要的扩容方案。未来,即使PoS共识运行以及分片实现后,这些基于“证明”技术的扩容方案也会一直存在.
1900/1/1 0:00:001.消除碳足迹?以太坊合并四大支柱重振生态信心与权益证明(PoS)的合并(The Merge)将是迄今为止对以太坊最深刻的升级,其重要性仅次于创世区块。这将是让世界看到一个主要的、分散的系统如何在实际上消除其碳足迹的例子.
1900/1/1 0:00:00NFT 和元宇宙是目前 Crypto 生态系统中最热门的话题,但下一件大事可能只是去中心化社交媒体 (decentralized social media).
1900/1/1 0:00:00当前创作者经济大概由5000万人组成,并创造了各种各样的知识资产。然而,世界各地的内容创作者被迫使用中心化的平台,这些平台限定了规则,决定了哪些受众看到了什么,以及创作者得到了多少收益.
1900/1/1 0:00:004 月 15 日,在业内素有着“思想家”美誉的知名 NFT 收藏者 6529 在推特上介绍了自己正在牵头构建的全新项目 OM.
1900/1/1 0:00:00