卷土重来？黑客获利约130万美元 FEGexPRO合约被攻击事件分析

2022年5月16日，成都链安链必应-区块链安全态势感知平台舆情监测显示，Ethereum和BNBChain上FEGtoken项目的FEGexPRO合约遭受黑客攻击，黑客获利约3280?BNB?以及144ETH，价值约130万美元。成都链安技术团队对事件进行了分析，结果如下。

事件相关信息

本次攻击事件包含多笔交易，部分交易信息如下所示：

攻击交易?(部分)

0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063?(BNBChain)

LTC突破110美元，24小时涨幅近30%:金色财经报道，行情显示，LTC短线突破110美元；现报107.56美元，24小时涨幅为28.03%。行情波动较大，请做好风险控制。[2023/7/1 22:11:17]

0x1e769a59a5a9dabec0cb7f21a3e346f55ae1972bb18ae5eeacdaa0bc3424abd2?(Ethereum)

攻击者地址

0x73b359d5da488eb2e97990619976f2f004e9ff7c

攻击合约

0x9a843bb125a3c03f496cb44653741f2cef82f445

被攻击合约

0x818e2013dd7d9bf4547aaabf6b617c1262578bc7?(BNBChain)

0xf2bda964ec2d2fcb1610c886ed4831bf58f64948(Ethereum)

攻击流程

Ethereum和BNBChain上使用攻击手法相同，以下分析基于BNBChain上攻击：

1.攻击者调用攻击合约利用闪电贷从DVM合约（0xd534...0dd7)中借贷915.84WBNB，然后将116.81WBNB兑换成115.65fBNB为后续攻击做准备。

矿企Blockstream将于2024年第三季度推出ASIC矿机:金色财经报道，比特币基础设施公司Blockstream预计将在2024年第三季度左右推出专用集成电路(ASIC)矿机。该公司于2021年收购了以色列矿机制造商Spondoolies，并将制造商的核心团队带入Blockstream的矿业部门，该部门由ChrisCook领导，前Spondoolies首席执行官Assaf Gilboa担任执行副总裁。2023年1月，Blockstream筹集了1.25亿美元用于扩大挖矿业务，并表示计划筹集更多资金为其挖矿业务提供资金。新的ASIC原定于2022年推出，但Back现在预计该矿机将在2024年下半年上市。[2023/6/14 21:35:02]

2.攻击者利用攻击合约创建了10个合约，为后续攻击做准备。

以太坊扩容项目Scroll本周改进v2桥和ZK架构，即将引入TheGraph:2月4日消息，以太坊扩容项目Scroll发布本周更新，包括：构建和准备系统，以便之后在Goerli测试网上部署；改进v2桥和ZK架构，将prover内存需求从870GB降低到275GB；为开发者推出更多的基础架构，即将引入TheGraph支持；将Uniswap V3部署到Scroll测试网上；推进账户抽象。[2023/2/4 11:47:25]

3.攻击者接下来将兑换得到的fBNB代币抵押到FEGexPRO合约中。

4.?然后攻击者重复调用depositInternal和swapToSwap函数，让FEGexPRO合约授权fBNB给之前创建好的其他攻击合约。

Binance已支持Google One Tap直接登录或注册:1月15日消息，最新的BinanceBuild更新，用户现在可以使用Google One Tap直接登录Binance或在Binance上进行注册。[2023/1/15 11:13:29]

5.?然后利用其他攻击合约调用transferFrom函数将FEGexPRO合约中fBNB全部转移到攻击合约中。

6.接下来又在LP交易对合约（0x2aa7...6c14)中借贷31,217,683,882,286.007211154FEG代币和423WBNB。

经济学家：Celsius用户可能拿不回自己的钱:7月15日消息，著名经济学家、加密货币批评者Frances Coppola不相信Celsius储户能够拿回自己的钱，并称Celsius是一家“影子银行”：“Celsius不是一家资产管理公司，而是一家影子银行。银行存款甚至不是客户资产，更不是管理资产。这些是给银行的无抵押贷款。因此，它们是银行的负债，完全有破产的风险。”

Coppola表示：“Celsius的使用条款完全清楚地表明，将资金存入其计息账户的客户是在把资金借给Celsius，让Celsius想怎么用就怎么用。而且特别指出，在破产的情况下，客户可能拿不回他们所有的钱，甚至是任何钱。”（Crypto Potato）[2022/7/15 2:16:36]

7.然后重复3、4、5步骤的攻击手法，将FEGexPRO合约中大量FEG代币盗取到攻击合约中。

8.然后归还闪电贷，将获得的WBNB转入攻击合约中完成此笔攻击。

9.此后，又利用相同的原理，执行了50余笔相同的攻击，最获利约144ETH和3280BNB。

漏洞分析

本次攻击主要利用了FEGexPRO合约中swapToSwap函数中path地址可控且合约中未对path地址进行有效性校验的漏洞。由于合约中depositInternal函数中更新用户余额时依赖于合约中当前代币余额，攻击者通过传入一个恶意的path地址，调用swapToSwap函数时合约中代币余额并未发生变化，导致攻击者可以反复重置攻击合约在FEGexPRO合约中记录的代币数量，从而让FEGexPRO合约将自身代币反复授权给攻击者所控制的多个恶意合约。

资金追踪

截止发文时，被盗资金仍在攻击者地址中并未转移。

总结

针对本次事件，成都链安技术团队建议：

项目开发时，应该注意与其他合约交互时可能存在的安全风险，尽量避免将关键参数设置为用户可控。如果业务需求如此，则需要严格判断用户输入的参数是否存在风险。此外建议项目上线前选择专业的安全审计公司进行全面的安全审计，规避安全风险。

标签：BNBFEGPROGEXbnb历史最高价哪一年DADDYFEGDeFi Yield ProtocolGEX币

XLM热门资讯