2月10日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,DeFi應用DegoFinance遭到黑客攻擊,UniSwap和PancakeSwap上的DEGO流動性已被耗盡。關于本次攻擊,成都鏈安技術團隊第一時間進行了資金流向分析。
#1事件概覽
據悉,DegoFinance于2020年9月啟動,以打造可持續性和實用性的NFT生態系統為目標,打造了NFT+DeFi平臺。有人說,在DeFi的世界里,DEGO就相當于樂高。將每一個DeFi協議當作是一塊磚,包括穩定幣(DAI)、借貸(Aave,Compound)、去中心化交易所DEX(UniswapandBalancer)、衍生品(Synthetix)和保險(NexusMutual)等等。
美SEC向幣安附屬公司BAM以及趙長鵬發出臨時限制令:6月7日消息,美國證券交易委員會(SEC)對幣安及其附屬公司 BAM Managemen、BAM Trading 以及幣安首席執行官趙長鵬發出臨時限制令
文件中美 SEC 還提到禁止幣安銷毀、更改或隱藏相關記錄;稱 BAM Trading 在 Binance.US 上的質押計劃是一項投資合同,因此屬于證券的定義;幣安及趙長鵬指導 BAM Trading 在美國的業務運營。文件表示,自法院發布限制令之日 10 天內,每位被告應將投資者在 Binance.US 平臺上存放、持有、交易和 / 或應計的所有法定貨幣和加密資產返還美國,包括 BAM 的質押服務計劃。
此前報道,SEC已請求法院批準凍結與Binance.US相關的資產。[2023/6/7 21:20:44]
2月10日,DegoFinance官方推特發布公告稱被黑客攻擊,DeFi世界的樂高就這樣“塌了”!
加密安全公司Forta上線委托質押功能:金色財經報道,加密安全公司Forta宣布上線委托質押功能,允許所有FORT持有者都能因保護網絡而獲得獎勵。
此前報道,去年6月,加密安全公司Forta推出原生代幣FORT,旨在增加安全研究人員監控區塊鏈網絡的動力。[2023/2/28 12:34:38]
本次攻擊涉及多個賬戶地址私鑰泄露,黑客利用私鑰提取了多個鏈上的資產,具體分析請接著往下閱讀。
#2事件具體分析
我們以ETH鏈上攻擊為例,對Dego項目方其中一個地址的資金流向做了詳細分析。
首先,項目方私鑰泄露的DEGO.Finance:Deployer地址為:
Bitcoin?com宣布“CEX教育計劃”,鼓勵FTX等事件受害者使用DeFi和自托管服務:11月20日消息,Bitcoin.com宣布創建CEX教育計劃(CEX Education Program),將獎勵受中心化加密公司破產影響的人,同時鼓勵人們使用DeFi和自托管服務。Bitcoin.com將于12月推出錢包獎勵和實用性代幣VERSE,代幣供應總量的5%專用于CEX教育計劃。
通過在getverse.com注冊,FTX、BlockFi、Celsius、Voyager和其他失敗的中心化實體的受害者將有資格從CEX教育計劃中獲得獎勵。在未來,Bitcoin.com將繼續使用該計劃來幫助受害者,并激勵他們使用自托管產品。(Bitcoin.com)[2022/11/20 22:10:18]
0x20FE4B1eD95911487499e53355BB8f14a881D735
攻擊者地址為:
0x118203B0f2A3ef9e749D871C8fEF5e5e55ef5C91
1?攻擊者通過私鑰,使用minter權限分別向DEGO.Finance:Deployer賬戶和0x118賬戶鑄造了592,582.35個dego代幣。
2?之后移除ETH-dego交易池的流動性。
3?攻擊者通過DEGO.Finance:Deployer賬戶移除流動性獲取了269,502個dego代幣和378個ETH。
4然后將DEGO.Finance:Deployer賬戶獲取的378個ETH轉給了0x118地址。
同時,該黑客轉移原本屬于項目方地址的441個yvWETH給0x118地址。
此時0x118賬戶上有獲利的750.37個ETH和其他轉入的7.10個ETH一共757.4個。
截止目前發文,在Ethereum鏈上,攻擊者在0x118地址將441個yvWETH轉入Zapper.Fi:YearnyVaultZapOut兌換了445個ETH,獲取共1202個ETH,轉入Tornado.Cash:Proxy400ETH。向0x47a344588653efA88eB6D58433B6A2A5E202D65d地址轉入202個ETH。
在Cronos鏈上,在0x118地址獲取了196256.7個USDT和199401.9個USDCoin,還未轉出。
在BSC鏈上,獲取3736.17個BNB,通過代幣兌換獲取9188個BNB。向0x47a344588653efA88eB6D58433B6A2A5E202D65d地址轉入了12,741個BNB。
三條鏈上0x118地址總計約17,627,676美元,目前,官方稱正在調查原因并試圖挽回損失。
隨著DeFi的不斷發展,DeFi項目的安全問題也愈發緊急。對比于傳統金融,DeFi的底層靠的是智能合約,本質上是程序,程序擁有傳統金融不可比擬的高效性和便捷性,但也存在傳統金融無需考慮的代碼漏洞問題。所以成都鏈安建議大家,對未公開智能合約和審計報告的項目,要保持警惕,項目方也需要避免私鑰泄露,導致項目受損。
擴展閱讀:
純干貨分享|DEFI安全問題之基礎篇
當DeFi淪為黑客的“提款機”,我們如何保證它的安全性?
原文作者:Gitcoin?創始人?KevinOwocki原文來源:Bankless我們的世界面臨著許多生存威脅:氣候變化、內部沖突、外部戰爭、貧富差距、超級細菌——所有這些問題都是我們自己造.
1900/1/1 0:00:00原標題|BeWater年末圍爐夜話|2021年度總結 整理|閆鈺承 注|本文首發時間為2022年1月1日12月30日晚,BeWater開發者社區在Clubroom舉辦了2021年終總結線上對話.
1900/1/1 0:00:00原文標題:《全景式解析區塊鏈發展脈絡》作者:coinmix.global 前言 隨著2021年的結束,加密貨幣市場在2022年的開端表現不盡如意.
1900/1/1 0:00:00目前,DeFi?去中心化金融贏得了大多數用戶的青睞與擁護,同時,DeFi?熱度和??DeFi?代幣氣勢如虹的行情讓整個行業的人都蠢蠢欲動,人人都想從這看似遍地黃金的市場中分一?杯羹.
1900/1/1 0:00:00這一輪熊市和上一輪熊市有個很大的不同:上一輪熊市中整個生態體系幾乎以公鏈為主,比如比特幣、以太坊、EOS、隱私公鏈等,這些占了當時整個生態體系的絕大部分,其它剩下的就只有屈指可數的應用類代幣了.
1900/1/1 0:00:00總部位于美國的主要支付處理商PayPal已經組建了一個行業專家團隊,在加密貨幣、區塊鏈和數字貨幣方面擔任顧問.
1900/1/1 0:00:00