2022年4月17日,算法穩定幣項目Beanstalk DAO遭受黑客攻擊,損失已達1.82億美元,包括7900多萬BEAN3CRV-f、163萬BEANLUSD-f、3600萬BEAN和0.54個UNI-V2_WETH_BEAN。啟動入侵的初始資金已被撤回至Synapse Protocol,且大部分收益都被存入Tornado.cash。目前,該項目穩定幣BEAN價格已經從約1美元跌至0.136美元,跌幅達86%。
BeanStalk是一個分散的基于信用的穩定幣協議。該協議由三個相互連接的組件組成:去中心化價格預言機、去中心化治理系統和去中心化信貸工具。根據該項目的白皮書介紹,BeanStalk使用動態掛鉤維護機制,定期將1Bean(Beanstalk ERC-20標準穩定幣)的價格超過其價值掛鉤,而無需集中化或抵押要求。
AAVE社區發起Harmony黑客攻擊后Aave和Harmony的聯合恢復計劃:7月20日消息,Aave社區治理頁面顯示,有用戶提出Aave和Harmony聯合恢復計劃,以彌補Harmony區塊鏈遭到黑客攻擊后AAVE上的用戶資金損失。該恢復計劃的核心部分是設立復蘇基金,Harmony和Aave各出資必要報銷資金總額的10%。將使受影響的用戶能夠立即收回黑客攻擊前余額的20%,從而提供一些即時救濟并為進一步的恢復工作奠定基礎。
Aave的部分貢獻將來自注銷其目前在HarmonyDAO金庫中持有的折舊資產,其中大約有200萬個aONE和700個aLINK代幣。雙方的其余貢獻可能來自各自的儲備金或其他資金來源。
該提案還引入服務提供商BGD提出的Decaying預言機機制,將從20%的恢復率開始,然后逐漸減少,以逐漸貶值的方式盡早清算脫鉤資產。如果存在剩余壞賬,這筆債務將由Harmony和Aave平分。恢復過程預計需要四年左右。[2023/7/20 11:07:37]
此次攻擊事件距離Axie Infinity 遭到黑客攻擊損失6.25億美元還不到一個月時間,Beanstalk受到了巨大的損失。這次的黑客攻擊或源于前一天通過的BIP18,BIP18導致使用治理特權來抽干資金池的精心設計的代碼來執行,黑客利用了Beanstalk的“投票合約中的票數是根據賬戶中的代幣持有量來得到的”這一閃電貸漏洞完成了這次的攻擊,并將獲利的部分USDC轉入了烏克蘭加密捐贈地址。
Chingari:代幣 GARI 未發現黑客攻擊,價格下跌或為市場因素:7月5日消息,印度短視頻社交應用Chingari發推表示,經過全面評估后,代幣GARI方面沒有發現任何黑客行為,到目前為止看起來像是一個市場事件,Chingari一直與交易所保持聯系并評估情況。注:昨夜Chingari代幣GARI一度暴跌逾80%,截至發文時24小時跌幅仍為68.9%。[2022/7/5 1:51:23]
下面Armors Company Limited來具體分析一下黑客的攻擊過程。
黑客從攻擊的前一天發起了交易提案,提案通過以后將會從Beanstalk: Beanstalk Protocol合約中提取資金。首先黑客通過閃電貸換取了3.5億個DAI、5億個USDC、1.5億個USDT、3200萬個BEAN和1100萬個LUSD作為資金儲備。再將這些資金在Curve.fi 對應交易對的交易池中添加為3Crv流動性代幣,總量達到9.8億個。接著用1500萬個3Crv兌換成LUSD。又將3Crv代幣兌換為BEAN3CRV-f用于投票,把3200萬個BEAN和近2700萬個LUSD添加流動性,這樣就成功得到5900萬個BEANLUSD-f流動性代幣。
Easyfi遭受黑客攻擊,被盜600萬美元穩定幣以及298萬個EASY代幣:Easyfi.network創始人兼CEO Ankitt Gaur在推特上表示:“4月19日,我們的團隊成員向我報告稱,有大量EASY代幣從EasyFi官方錢包大量轉移到以太坊網絡和Polygon網絡上未知錢包。 這些交易很快引起我注意,因為管理這些代幣的計算機至少一周未使用且完全離線,因此可能有人攻擊了管理密鑰或助記詞。我迅速響應事件,采取了所有必要的預防措施和行動以減少損失。最終,黑客成功獲取了管理員密鑰,并從協議池中以USD / DAI / USDT形式轉移了600萬美元的現有流動資金,并將298萬個EASY代幣轉移到了黑客自己的錢包中,地址:0x83a2EB63B6Cc296529468Afa85DbDe4A469d8B37。”[2021/4/20 20:38:56]
接著,黑客用BEAN3CRV-f和BEANLUSD-f來對提案發起投票,然后調用emergencyCommit進行緊急提交來執行提案,從而導致提案通過。經過以上一系列的操作,3600萬個BEAN、8.75億個BEAN3CRV-f、6000萬個BEANLUSD-f以及0.54個UNI-V2,通過Beanstalk: Beanstalk Protocol合約轉入了攻擊合約。最后黑客將流動性移除并歸還閃電貸,把多余的代幣兌換為近2.5萬個ETH持續轉移至Tornado.Cash。
阿根廷基于區塊鏈的官方公報網站遭到黑客攻擊:金色財經報道,阿根廷政府于3月14日確認,其基于區塊鏈技術官方公報(Boletin Official)網站遭受了黑客攻擊,傳播了有關冠狀病的虛假聲明。據悉,用于“官方公報”的區塊鏈系統是“阿根廷聯邦區塊鏈”項目的一部分。[2020/3/17]
交易詳細信息如圖所示:
ETH被分批發送到 Tornado.Cash :
Armors安全在此提醒:
首先,還是要對項目代碼的安全審計提高重視,建議找行業內正規的安全公司進行全方位的代碼審計,并定期檢查更新,可使用實時的安全監測服務,避免出現安全風險。其次,項目方應避免使用賬戶的當前資金余額來統計投票數量,投票所用資金應在合約中設定鎖定時間,避免出現可能的反復投票或使用閃電貸進行投票。對于惡意提案,項目方和社區應提高關注度及警惕性,可考慮禁止合約地址參與投票,并設立預警機制,對于惡意提案,需及時作出預警和處理,禁止惡意提案的投票通過和執行。
Armors安全機構成立于2017年,是行業最早成立的專業區塊鏈安全機構之一。Armors是Polygon、BSC、Ethereum、Solana等公鏈審計合作伙伴,已為超過2000家區塊鏈平臺、交易所、錢包、DApp等機構和項目提供安全審計、滲透測試、跨鏈遷移、平臺安全等各方面保障及服務。成立以來,Armors已為客戶挽回超過32000個BTC的資產損失。
馬斯克又“不務正業”了。美東時間2022年4月4日,美國證券交易委員會(SEC)披露的信息顯示,埃隆·馬斯克已持有推特9.1%(此前披露的9.2%有誤)的股份,成為后者的第一大股東.
1900/1/1 0:00:00在2021年的7月末,一個名為“PleasrDAO“的去中心化自治組織聚集在一起,花費高達400萬美元購買下 Wu-Tang Clan專輯“Once Upon a Time in Shaolin.
1900/1/1 0:00:00元宇宙領域新的獨角獸企業誕生了。虛擬形象技術公司 Genies 完成 1.5 億美元?C 輪融資,Silver Lake 領投。目前該公司的估值為 10 億美元.
1900/1/1 0:00:00(原標題:Web3 Is Useless If It’s NotUser-Friendly)憑空出現的web3已經成為2022年最大的技術趨勢之一.
1900/1/1 0:00:00原文標題:How to make an open metaverse撰文:William M. Peaster.
1900/1/1 0:00:002021被稱作是NFT元年,NFT也被認為是Crypto開啟出圈之路的載體,由此可見NFT迅猛的發展勢頭以及在整個Crypto生態中的重要地位.
1900/1/1 0:00:00