宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > 波场 > 正文

卷土重来?黑客获利约130万美元 FEGexPRO合约被攻击事件分析

作者:

时间:1900/1/1 0:00:00

2022年5月16日,成都链安链必应-区块链安全态势感知平台舆情监测显示,Ethereum和BNB Chain上FEGtoken项目的FEGexPRO合约遭受黑客攻击,黑客获利约3280?BNB?以及144 ETH,价值约130万美元。成都链安技术团队对事件进行了分析,结果如下。

事件相关信息

本次攻击事件包含多笔交易,部分交易信息如下所示:

攻击交易?(部分)

0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063?(BNB Chain)

Theta Labs的“具有灵活文件分片的去中心化边缘存储网络”已获得美国专利:金色财经报道,据官方博客,去中心化流媒体平台Theta Network运营商 Theta Labs宣布,其去中心化边缘网络的创新方法,即“具有灵活文件分片的去中心化边缘存储网络”已获得美国专利,专利号为11,611,615 B1。Theta Labs称,Theta Edge Network利用灵活文件分片等专利技术实现了高扩展性和高资源可用性。(Medium)[2023/3/29 13:32:28]

0x1e769a59a5a9dabec0cb7f21a3e346f55ae1972bb18ae5eeacdaa0bc3424abd2?(Ethereum)

攻击者地址

0x73b359d5da488eb2e97990619976f2f004e9ff7c

BestChange:FTX的崩溃或将引发对加密OTC服务的更大需求,去中心化将在明年加速开发:12月27日消息,俄罗斯OTC加密货币交易所聚合商BestChange首席分析师Nikita Zuborev表示,FTX的崩溃可能会引发对加密OTC服务的更大需求,因为由于对CEX的信任度减弱,投资者正在寻找替代方法来转换法币。此外,他还表示受FTX崩盘的影响,去中心化和去中心化应用程序的开发将在2023年加速。[2022/12/27 22:10:54]

攻击合约

0x9a843bb125a3c03f496cb44653741f2cef82f445

被攻击合约(部分)

0x818e2013dd7d9bf4547aaabf6b617c1262578bc7?(BNB Chain)

胖企鹅CEO所持BAYC #5382将用于纯净水品牌Ape Water包装:9月18日消息,面向Web3社区的高端纯净水品牌Ape Water将使用NFT项目胖企鹅Pudgy Penguins首席执行官Luca Schnetzler持有的BAYC #5382。据悉,BAYC #5382具有6个独立特征,包括全息眼镜、骨头项链和渔夫帽等,每个Ape Water饮料罐包装都将印有该Ape。

根据该品牌公司Ape Beverages官方网站披露,Ape Water将于9月22日在指定零售商发售,APE持有者可在其网站连接钱包获取福利。(Hypemoon)[2022/9/18 7:04:00]

0xf2bda964ec2d2fcb1610c886ed4831bf58f64948 (Ethereum)

Ethereum和BNB Chain上使用攻击手法相同,以下分析基于BNB Chain上攻击:

CremaFinance:找到了黑客在黑客事件中使用的可疑discord账户:金色财经报道,CremaFinance在社交媒体上称,根据合作伙伴提供的线索,我们找到了黑客在黑客事件中使用的可疑discord账户。我们正在与有关方面接触,以获得更多可能有助于侦查的信息。

金色财经此前报道,CremaFinance被黑客攻击损失约880万美元。[2022/7/4 1:50:09]

1. 攻击者调用攻击合约(0x9a84...f445)利用闪电贷从DVM合约(0xd534...0dd7)中借贷915.84 WBNB,然后将116.81 WBNB兑换成115.65 fBNB为后续攻击做准备。

数据:持有1万到1000万枚的MATIC持有者在六周内增加8.7%:6月23日消息,据Santiment数据显示,MATIC鲨鱼和鲸鱼的增持趋势已经持续了大约六周,在这段时间内,持有1万到1000万枚MATIC的持有者总共增加了8.7%。[2022/6/23 1:26:57]

2. 攻击者利用攻击合约创建了10个合约,为后续攻击做准备。

3. 攻击者接下来将兑换得到的fBNB代币抵押到FEGexPRO合约(0x818e...8bc7)中。

4. ?然后攻击者重复调用depositInternal和swapToSwap函数,让FEGexPRO合约授权fBNB给之前创建好的其他攻击合约。

5. ?然后利用其他攻击合约调用transferFrom函数将FEGexPRO合约中fBNB全部转移到攻击合约(0x9a84...f445)中。

6. 接下来又在LP交易对合约(0x2aa7...6c14)中借贷31,217,683,882,286.007211154 FEG代币和423 WBNB。

7. 然后重复3、4、5步骤的攻击手法,将FEGexPRO合约中大量FEG代币盗取到攻击合约中。

8. 然后归还闪电贷,将获得的WBNB转入攻击合约中完成此笔攻击。

9. 此后,又利用相同的原理,执行了50余笔相同的攻击,最获利约144 ETH和3280 BNB。

本次攻击主要利用了FEGexPRO合约中swapToSwap函数中path地址可控且合约中未对path地址进行有效性校验的漏洞。由于合约中depositInternal函数中更新用户余额时依赖于合约中当前代币余额,攻击者通过传入一个恶意的path地址,调用swapToSwap函数时合约中代币余额并未发生变化,导致攻击者可以反复重置攻击合约在FEGexPRO合约中记录的代币数量,从而让FEGexPRO合约将自身代币反复授权给攻击者所控制的多个恶意合约。

截止发文时,被盗资金仍在攻击者地址(0x73b3...ff7c)中并未转移。

针对本次事件,成都链安技术团队建议:

项目开发时,应该注意与其他合约交互时可能存在的安全风险,尽量避免将关键参数设置为用户可控。如果业务需求如此,则需要严格判断用户输入的参数是否存在风险。此外建议项目上线前选择专业的安全审计公司进行全面的安全审计,规避安全风险。

标签:BNBFEGTHEEGE游戏bnb薇拉SAFEGALAXY 币togetherbnb薇拉能上吗DEGEN Index

波场热门资讯
Web3中无价值投资?详解9大原生基本面指标

核心观点: Web3项目是一种新型公司,应该用新的方式、结合项目独特性去为它们估值。近期,我们见证了Web3项目前所未有的爆发式发展,它在Web2平台和服务的基础上,实现了去中心化的愿景.

1900/1/1 0:00:00
金色趋势丨行情反转了还是爆空诱多?

前期提示的潜在圆弧顶颈线28600一直未有效跌破,并且这一带也是5日线200均线位置,历史上可以看到BTC从高位首次回落至5日线200均线一带往往会有一个反弹修复的动作,前期跌速过快,价格偏离5日线或者短期周均线较远.

1900/1/1 0:00:00
Web3 与虚拟人将如何重塑社交体验

这是一种新的互联网原生媒体共享故事,我们共享的社交体验日益虚拟化的特性将在未来几十年内增加 Virtual beings(虚拟人)的数量.

1900/1/1 0:00:00
我们在元宇宙中的身份会是什么样子?

我们在元宇宙中的身份会是什么样子?去中心化的Web3表明它将完全在我们的控制之下,但存储在网上的信息表明情况并非如此。“元宇宙”和“Web3”是当下的流行语,它们的概念已经渗透到了金融、科技、区块链乃至主流媒体的各个领域.

1900/1/1 0:00:00
中国数字人专利排行榜TOP30

近年来,随着元宇宙概念的兴起和火热,叠加疫情下国人对虚拟内容需求的增加、消费级VR硬件快速发展,虚拟数字人的发展也步入快车道.

1900/1/1 0:00:00
Web3和NFT中的匿名性问题?

来源公号:老雅痞 由于Web3的许多核心精神是以去中心化的所有权和隐私为前提的,匿名和假名身份是相当普遍的。继比特币创始人中本聪的匿名身份之后,加密货币社区的许多人现在以自己的替代身份运作.

1900/1/1 0:00:00