以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

黑客獲利近8000萬美元 惡意提案如何防范?_TALK:USD

Author:

Time:1900/1/1 0:00:00

2022年4月17日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,算法穩定幣項目Beanstalk Farms遭黑客攻擊,黑客獲利近8000萬美元,成都鏈安技術團隊第一時間對事件進行了分析,結果如下。

1 事件相關信息

攻擊交易

0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7

攻擊者地址

0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4

攻擊合約

0x79224bC0bf70EC34F0ef56ed8251619499a59dEf

安全團隊:WEEB遭受閃電貸攻擊,黑客獲利約16ETH:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,WEEB項目遭受價格操控攻擊(0xcb58fb952914896b35d909136b9f719b71fc8bc60b59853459fc2476d4369c3a),黑客利用WEEB代幣中的performUpkeep函數,將pair中大量WEEB代幣的余額燒毀,從而提高WEEB價格,獲利16ETH。目前資金仍在黑客地址中(0xe9ba23db4cab47621d72b7a51ef166992a025b16),Beosin Trace將持續對資金流向進行監控。[2023/5/10 14:53:59]

被攻擊合約

0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5

派盾:多鏈錢包UvToken遭遇攻擊,黑客獲利約150萬美元:金色財經報道,據派盾預警監測,多鏈錢包UvToken遭遇攻擊,UVT代幣價格下跌99%,攻擊者已將盜取的約5011枚BNB(價值約150萬美元)轉入Tornado Cash。[2022/10/27 11:47:58]

2 攻擊流程

1. 攻擊者從攻擊的前一天發起了提案交易,提案通過會提取Beanstalk: Beanstalk Protocol合約中的資金。

2. 黑客通過閃電貸換取了350,000,000個DAI,500,000,000個USDC,150,000,000個USDT,32,100,950個BEAN和11,643,065個LUSD作為資金儲備。

派盾:Deus Finance再次遭到攻擊,黑客獲利約1340萬美元:金色財經消息,派盾(PeckShield)在Twitter上表示,多鏈衍生品協議Deus Finance目前被監控到在Fantom網絡上遭黑客攻擊,黑客獲利約1340萬美元。

此前3月15日報道,派盾在社交媒體上提醒,Deus Finance目前被監控到在Fantom網絡上遭黑客攻擊,黑客共計盜走20萬枚DAI和1101.8枚ETH。[2022/4/28 2:36:36]

3. 黑客將2步驟的DAI,USDC,USDT資金在Curve.fi DAI/USDC/USDT交易池中添加為979,691,328個3Crv流動性代幣,用15,000,000個3Crv換來15,251,318個LUSD。

BlockSecAlert: Agave合約遭受攻擊黑客獲得約540萬美元的利潤:3月15日消息,根據BlockSec報告,xDai Chain上Agave合約因為一個非信任的外部調用遭受攻擊。攻擊者在沒有任何負債的情況下調用了`liquidateCall` 函數來清算自己。在清算過程中,清算合約調用了攻擊者合約,攻擊合約在此過程中存入了2728個通過閃電貸獲取的WETH,鑄造出2728 aWETH。并以此為抵押,借出了Agave項目中所有可用資產。外部調用結束后,`liquidateCall`函數直接清算了攻擊者之前存入的2728 aWETH,并將其轉給清算者。攻擊交易見原文鏈接。據此前消息,Agave發推稱,協議遭到攻擊,目前已暫停合約,之后會公布具體情況。[2022/3/15 13:58:22]

4. 將964,691,328個3Crv代幣兌換為795,425,740個BEAN3CRV-f用于投票,將32,100,950個BEAN和26,894,383LUSD添加流動性得到58,924,887個BEANLUSD-f流動性代幣。

5. 使用4步驟中的BEAN3CRV-f和BEANLUSD-f來對提案進行投票,導致提案通過。從而Beanstalk: Beanstalk Protocol合約向攻擊合約轉入了36,084,584個BEAN,0.54個UNI-V2,874,663,982個BEAN3CRV-f以及60,562,844個BEANLUSD-f。

6. 最后攻擊者將流動性移除并歸還閃電貸,把多余的代幣兌換為24830個ETH轉入攻擊者賬戶中。

3 漏洞分析

本次攻擊主要利用了投票合約中的票數是根據賬戶中的代幣持有量得到的。

攻擊者至少在一天前發起提取Beanstalk: Beanstalk Protocol資金的提案,然后調用emergencyCommit進行緊急提交來執行提案,這個就是攻擊者1天之前發起攻擊準備的原因所在。

4 資金追蹤

截止發文時,攻擊者獲利22029601 個USDC ,14742429個 DAI,6,603,829個USDT與0.5407個UNI-V2,640224美元的BAEN代幣資金近8000萬,在攻擊時將其中的25萬USDC捐贈了烏克蘭,之后攻擊者將資金轉換為ETH并將資金持續向Tornado.Cash轉移。

針對本次事件,成都鏈安技術團隊建議:

1. 投票所用資金應在合約中鎖定一定時間,避免使用賬戶的當前資金余額來統計投票數量,以避免可能出現的反復投票以及使用閃電貸進行投票;

2. 項目方和社區應關注所有提案,如果提案是惡意提案,建議在提案投票期間應及時做出處理措施,將提案廢棄,禁止其接受投票以及執行;

3. 可考慮禁止合約地址參與投票;此外項目上線前最好進行全面的安全審計,規避安全風險。

Tags:BEAUSDETHTALKYBEARIUSD價格KTETH價格BNBeanstalk

幣贏交易所
區塊鏈顛覆性的財富再分配密碼 DEP DAO_區塊鏈:區塊鏈專業畢業后到底做什么

Dep-DAO基于DREP底層公鏈發起的DAO組織生態,旨在打造一個去中心化組織,實施社區共建生態協同自治,在此基礎上DEP應運而生,搭載web3.0技術.

1900/1/1 0:00:00
Rug Pulls 類型知多少:盤點作惡者行騙的花式操作_RUG:EST

相信對于加密世界中的每一個人來說,「Rug Pulls」都不會陌生。這個詞很形象地描繪出了開發團隊卷走用戶資金跑路或者撤出流動性池資金的詐騙行為.

1900/1/1 0:00:00
加密觀察:穩定幣和無風險利率_穩定幣:COM

在這篇文章中,我們將介紹DeFi 抵押借貸平臺,即Compound Finance,討論其穩定幣的用例,并將其與傳統金融(TradFi)的“無風險”利率概念進行比較.

1900/1/1 0:00:00
Crypto Insiders創始人撰文:為什么未來屬于Near?_CRYP:Cryptobucks

Zoran Kole認為Near近期的一系列事件將使其市值在未來幾個月內至少升值100%。4月7日,Crypto Insiders創始人Zoran Kole一篇《未來屬于Near》的文章引起了加.

1900/1/1 0:00:00
元宇宙系列(五):數字貨幣如何在元宇宙中發揮優勢?_加密貨幣:加密貨幣是什么意思圖片

元宇宙作為新型社會體系的數字生活空間,將深刻改變人類社會的運行模式和存在形態,人類將在元宇宙虛擬空間中進行各類社會活動.

1900/1/1 0:00:00
Coinbase 將制作無聊猿的動畫?快拿你的 NFT 來選角_COI:COIN

無聊猿 NFT(Bored Ape Yacht Club)將通過加密貨幣交易平臺 Coinbase 制作的動畫短片系列正式進軍娛樂界,該系列名為“The Degen Trilogy”.

1900/1/1 0:00:00
ads