北京时间2022年2月22日下午1:46,CertiK安全专家团队检测到与FlurryFinance相关的一系列可疑活动,FlurryFinance的Vault合约受到攻击,价值约29.3万美元的资产被盗。
下文CertiK安全团队将从合约地址及攻击操作等方面为大家进行详细的解读并分析。
攻击步骤
①攻击者部署了一个恶意代币合约,并为代币和BUSD创建了一个PancakeSwap交易对。
攻击者:https://bscscan.com/address/0x0f3c0c6277ba049b6c3f4f3e71d677b923298b35
恶意代币合约:https://bscscan.com/address/0xb7a740d67c78bbb81741ea588db99fbb1c22dfb7
Conflux研究总监杨光:好的编程范式可以让智能合约更容易被形式化验证,从而更安全:金色财经报道,6月9日,Conflux研究总监杨光做客金色财经举办的“Web3.0-从信息交互到万物互联还要走多久?”为主题的金色沙龙第63期活动。杨光表示如果将区块链网络作为Web3.0基础设施,那么跨链协议是必备的,信息和资产需要在不同的区块链网络之间流动。其实跨链分很多个层次,信息跨链、资产跨链、智能合约的跨链互操作等等,难度是依次递增的。与之配套的还有各种数据格式、接口、通讯协议等等,甚至是统一的智能合约语言和编程范式。好的编程范式可以让智能合约更容易被形式化验证,从而更安全;也可以让合约在执行时候更容易实现并行化,优化性能和成本。[2021/6/9 23:24:53]
PancakeSwap交易对:https://bscscan.com/address/0xca9596e8936aa8e902ad7ac4bb1d76fbc95e88bb
FLUX开通挖矿24小时,TVL超过5000万美元:Conflux链上最新数据显示,借贷协议FLUX开通挖矿24小时TVL超过5000万美元。FLUX存借款、质押挖矿已于3月16日19:25 Conflux区块24976888处正式开启。
FLUX是新一代DeFi底层数字资产抵押借贷协议,采用完全自主开发的利率、借贷、清算模型,治理于构建安全稳健的去中心化借贷市场。FLUX合约代码已经通过Certik安全审计。[2021/3/18 18:56:00]
②攻击者从Rabbit的Bank合约中进行闪电贷,并触发了StrategyLiquidate的execute方法。
execute方法将输入数据解码为LP代币地址,并进一步得到恶意代币合约地址。
Conflux项目社区代表超侃就“Conflux的发展及规划”发表演讲:据悉,2020年7月4日,由LBank主办,金色财经联合协办的“LBank和他的朋友们-2020百城计划”分享会在济南举行。会上超侃发表了主题演讲,介绍了Conflux的发展历程和未来的发展规划。他提及,技术与性能领先是基础,生态成熟与繁荣才是真正领先。Conflux一直致力于打造分布式应用生态,聚集人才、技术和应用项目,形成产业聚集效应。[2020/7/4]
攻击者利用恶意代币合约中的攻击代码发起初步攻击:https://bscscan.com/address/0xbeeb9d4ca070d34c014230bafdfb2ad44a110142
动态 | Coinflux交易所创始人将被引渡到美国:据news.bitcoin消息,罗马尼亚司法部门决定将该国加密货币交易所Coinflux的创始人兼首席执行官弗拉德?奈斯特(Vlad Nistor)移交给美国当局。Vlad Nistor被控多项罪行,包括通过其数字资产交易平台非法所得资金。[2019/1/5]
StrategyLiquiddate合约:https://bscscan.com/address/0x5085c49828b0b8e69bae99d96a8e0fcf0a033369
③恶意代币合约调用FlurryRebaseUpkeep合约的performUpkeep方法,对Vault合约的相关金额进行重新统计,并更新了与之相关的Rho代币的multiplier。
此处的multiplier将用于Rho代币的余额计算。对Vault合约的相关金额进行重新统计,并更新了与之相关的Rho代币的multiplier。此处的multiplier将用于Rho代币的余额计算。该更新基于与Vault合约相关的盈利策略合约里的余额。
更新是在闪电贷的过程中触发的,此时的闪电贷还未结束,借出的金额也还未归还,因此Bank合约的当前余额远小于正常值。此Bank合约也是某个strategy的一部分,因而使得某strategy的余额小于正常值,进一步导致multiplier小于正常值。
FlurryRebaseUpkeep合约:https://bscscan.com/address/0x10f2c0d32803c03fc5d792ad3c19e17cd72ad68b
其中一个Vault的合约:https://bscscan.com/address/0xec7fa7a14887c9cac12f9a16256c50c15dada5c4
④攻击者归还了闪电贷的款项并完成了初步攻击,且为进一步攻击获利做好了准备。
⑤在紧接着的交易中,攻击者以前一次交易中得到的低multiplier存入代币,将multiplier更新为更高的值,并以高multiplier提取代币。例如,在其中一笔初步攻击的交易中,multiplier被更新为4.1598e35。
在进一步攻击的交易中multiplier被更新为4.2530e35。
攻击实例:https://bscscan.com/tx/0x923ea05dbe63217e5d680b90a4e72d5552ade9e4c3889694888a2c0c1174d830
https://bscscan.com/tx/0x646890dd8569f6a5728e637e0a5704b9ce8b5251e0c486df3c8d52005bec52df
⑥因为multiplier乘数是决定Rho代币余额的因素之一:
攻击者的Rho代币余额在交易中增加了,所以ta能够从Vault中提取更多的代币。
⑦攻击者多次重复这一过程,从Vault合约中盗走了价值29.3万美元的资产。
因此CertiK的安全专家建议:项目在与外部合约交互之前应对其安全性有清晰的认知,并且限制外部依赖可能对自身合约的影响。
除此之外,CertiK官网https://www.certik.com/已添加社群预警功能。在官网上,大家可以随时看到与漏洞、黑客袭击以及RugPull相关的各种社群预警信息。
近期攻击事件高发,加密项目方及用户们应提高相关警惕并及时对合约代码进行完善和审计。除此之外,技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。
TheLockDIVER&Earn#3(term14days)willlaunchat8:00UTConFeb25atGate.io's“HODL&Earn”section.
1900/1/1 0:00:001TapFantasy(TAP)TokenSaleResultTheGate.ioStartupTapFantasy(TAP)saleresultisasfollows:TAPStartupSaleAmount:1,250.
1900/1/1 0:00:00尊敬的用戶:Hotcoin將於(GMT8)2022年2月22日17:00開放POLY/USDT交易業務,2022年2月23日17:00開放POLY提幣業務項目簡介:Polymath是一個證券型代幣發行平台,旨在利用區塊鏈技術.
1900/1/1 0:00:00无论要进入《雪崩》的元宇宙、科幻电影《头号玩家》的虚拟游戏世界“绿洲”、《环界》的人工生命计划“环”、《三体》中模拟地外文明的游戏“三体”,一副以“头套型屏幕”“电脑目镜”“显示头盔”等各种名目出现的VR头盔都是不可或缺的入场券.
1900/1/1 0:00:00翻译/撰稿:龙犄角 本文来自微信公众号TheSeeDAO。什么是NFTWorlds?NFTWorlds是一个完全去中心化的大型多人的元宇宙游戏.
1900/1/1 0:00:00亲爱的用户: 为支持FaithTribe(FTRB)?的生态建设,顶峰AscendEX现已开启FTRBStaking预体验活动。顶峰AscendEX用户可提前体验FTRB代币的Staking存币生息,享受200%年化收益率.
1900/1/1 0:00:00