宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > ICP > 正文

黑客攻击事件 算法稳定币项目Beanstalk Farms被盗损失达1.82亿美元

作者:

时间:1900/1/1 0:00:00

2022年4月17日,算法稳定币项目BeanstalkDAO遭受黑客攻击,损失已达1.82亿美元,包括7900多万BEAN3CRV-f、163万BEANLUSD-f、3600万BEAN和0.54个UNI-V2_WETH_BEAN。启动入侵的初始资金已被撤回至SynapseProtocol,且大部分收益都被存入Tornado.cash。目前,该项目稳定币BEAN价格已经从约1美元跌至0.136美元,跌幅达86%。

BeanStalk是一个分散的基于信用的稳定币协议。该协议由三个相互连接的组件组成:去中心化价格预言机、去中心化治理系统和去中心化信贷工具。根据该项目的白皮书介绍,BeanStalk使用动态挂钩维护机制,定期将1Bean的价格超过其价值挂钩,而无需集中化或抵押要求。

LCX 交易所遭黑客攻击,损失或超 600 万美元:1月9日消息,LCX交易所发推表示发生安全事件,目前正在调查具体情况,并已经停止提取款功能。另据派盾公布的LCX交易所与黑客地址,标记为“LCX 2”的地址自北京时间6:29起陆续将ETH、LCX等数十项资产陆续转移至“0x1654”开头的黑客地址,目前大部分资产均已出售为ETH并通过 Tornado.Cash转移,累计损失价值或超过600万美元。

据悉,LCX是曾在2021年1月获得列支敦士登11个加密相关许可证中的8个,使LCX成为受监管的加密交易所、数字资产托管提供商、喂价提供商、数字资产合规提供商、智能合约创建者和代币提供平台。[2022/1/9 8:36:08]

此次攻击事件距离AxieInfinity遭到黑客攻击损失6.25亿美元还不到一个月时间,Beanstalk受到了巨大的损失。这次的黑客攻击或源于前一天通过的BIP18,BIP18导致使用治理特权来抽干资金池的精心设计的代码来执行,黑客利用了Beanstalk的“投票合约中的票数是根据账户中的代币持有量来得到的”这一闪电贷漏洞完成了这次的攻击,并将获利的部分USDC转入了乌克兰加密捐赠地址。

动态 | 黑客攻击EOS竞猜类游戏?已获利数百EOS ?:Beosin(成都链安)预警:今天下午15:27-15:44之间,根据成都链安区块链安全态势感知系统Beosin-Eagle?Eye检测发现,黑客co****op向EOS竞猜类游戏合约xlo*****io发起连续攻击,已经获利数百EOS。经过成都链安技术团队初步分析,攻击者通过直接调用transfer方式,利用游戏合约逻辑缺陷,多个账号协同实施攻击。在此我们建议游戏合约开发者应该重视游戏逻辑严谨性及代码安全性,同时呼吁游戏项目方在项目上链前进行完善的代码安全审计,必要时可借助第三方专业审计团队的力量防患于未然。[2019/3/6]

下面ArmorsCompanyLimited来具体分析一下黑客的攻击过程。

动态 | Syscoin遭遇黑客攻击:Syscoin在推特上证实,正在调查出现问题的原因,并表示已经要求所有加密货币交易所暂时停止交易。该公司还没有能够确定漏洞的原因。[2018/7/4]

黑客从攻击的前一天发起了交易提案,提案通过以后将会从Beanstalk:BeanstalkProtocol合约中提取资金。首先黑客通过闪电贷换取了3.5亿个DAI、5亿个USDC、1.5亿个USDT、3200万个BEAN和1100万个LUSD作为资金储备。再将这些资金在Curve.fi对应交易对的交易池中添加为3Crv流动性代币,总量达到9.8亿个。接着用1500万个3Crv兑换成LUSD。又将3Crv代币兑换为BEAN3CRV-f用于投票,把3200万个BEAN和近2700万个LUSD添加流动性,这样就成功得到5900万个BEANLUSD-f流动性代币。

韩国交易所Coinrail宣布被黑客攻击,NPXS受损:6月10日,据韩国加密货币交易所Coinrail官方消息,系统检测到黑客攻击,NPXS已经受损。交易所正在调查确认是否有其它数字货币受损,之后公布具体细节。而NPXS官方也表示为了配合调查,NPXS交易将暂停,下午6时或重启交易。[2018/6/10]

接着,黑客用BEAN3CRV-f和BEANLUSD-f来对提案发起投票,然后调用emergencyCommit进行紧急提交来执行提案,从而导致提案通过。经过以上一系列的操作,3600万个BEAN、8.75亿个BEAN3CRV-f、6000万个BEANLUSD-f以及0.54个UNI-V2,通过Beanstalk:BeanstalkProtocol合约转入了攻击合约。最后黑客将流动性移除并归还闪电贷,把多余的代币兑换为近2.5万个ETH持续转移至Tornado.Cash。

交易详细信息如图所示:

ETH被分批发送到Tornado.Cash:

Armors安全在此提醒:

首先,还是要对项目代码的安全审计提高重视,建议找行业内正规的安全公司进行全方位的代码审计,并定期检查更新,可使用实时的安全监测服务,避免出现安全风险。其次,项目方应避免使用账户的当前资金余额来统计投票数量,投票所用资金应在合约中设定锁定时间,避免出现可能的反复投票或使用闪电贷进行投票。对于恶意提案,项目方和社区应提高关注度及警惕性,可考虑禁止合约地址参与投票,并设立预警机制,对于恶意提案,需及时作出预警和处理,禁止恶意提案的投票通过和执行。

Armors安全机构成立于2017年,是行业最早成立的专业区块链安全机构之一。Armors是Polygon、BSC、Ethereum、Solana等公链审计合作伙伴,已为超过2000家区块链平台、交易所、钱包、DApp等机构和项目提供安全审计、渗透测试、跨链迁移、平台安全等各方面保障及服务。成立以来,Armors已为客户挽回超过32000个BTC的资产损失。

标签:BEAANSUSDBEANSLINKBEAR价格Gummy BeansTrueUSDBNBeanstalk

ICP热门资讯
?NFT:一场华丽的泡沫?

伴随着元宇宙概念的火热,组成元宇宙之一的区块链技术发展出的NFT同样开始走红。只是,NFT风潮似乎开始出现“泡沫”.

1900/1/1 0:00:00
Web3、NFT、元宇宙及音乐行业的未来

不管准备好与否,Web3已经到来,它需要我们的共同关注。对一些人来说,这是晚期资本主义地狱图景的最新篇章,而对另一些人来说,它将重塑这个世界。面对如此两极分化的评价,人们似乎很难将Web3的真正潜力与各种金融科技术语等分辨开来.

1900/1/1 0:00:00
CertiK宣布融资6000万美元,投资方包括SoftBank Vision Fund II与Tiger Global

金色财经消息,Web3和区块链安全公司CertiK宣布融资6000万美元,投资方包括软银愿景基金2和TigerGlobal,标志着软银首次涉足Web3安全领域.

1900/1/1 0:00:00
NFT难道只是一场“美丽的泡沫”?

引言:泡沫虽美,却终究是一刹花火,NFT只是一场泡沫?NFT在“元宇宙”的背景下应运而生,它的火爆程度恰如转瞬即逝的极端事物,在呼唤其持续繁荣的期待中,大众也开始担心它只是个泡沫,而如今NFT的发展仿佛已然到达了顶端.

1900/1/1 0:00:00
Terra与雪崩协议两大创始人对话:平行宇宙的交汇

原文标题:《FiresideChat:StrategicallyAligningL1Ecosystems》当Terra这个庞大的金融帝国开始迅速向外扩张,原生Stablecoin的稳定性愈发重要.

1900/1/1 0:00:00
V 神呼吁宽大处理 以太坊开发者 Virgil Griffith 被判入狱 63 个月

在加密货币市场逐渐步入寒冬时,曾在币圈大肆流传的VirgilGriffith被捕事件也终于在近日迎来了最终审判.

1900/1/1 0:00:00