2022年5月16日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,Ethereum和BNB Chain上FEGtoken項目的FEGexPRO合約遭受黑客攻擊,黑客獲利約3280?BNB?以及144 ETH,價值約130萬美元。成都鏈安技術團隊對事件進行了分析,結果如下。
事件相關信息
本次攻擊事件包含多筆交易,部分交易信息如下所示:
攻擊交易?(部分)
0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063?(BNB Chain)
消息人士:ConsenSys近幾周與潛在投資者進行了會談:金色財經報道,據幾位熟悉此事的消息人士稱,ConsenSys最近幾周與潛在投資者進行了會談。但ConsenSys的發言人表示,該公司不需要現金,也沒有正式融資。[2023/7/17 11:00:07]
0x1e769a59a5a9dabec0cb7f21a3e346f55ae1972bb18ae5eeacdaa0bc3424abd2?(Ethereum)
攻擊者地址
0x73b359d5da488eb2e97990619976f2f004e9ff7c
攻擊合約
0x9a843bb125a3c03f496cb44653741f2cef82f445
被攻擊合約(部分)
0x818e2013dd7d9bf4547aaabf6b617c1262578bc7?(BNB Chain)
Polygon Labs總裁:下一個Jeff Bezos將來自Web3:金色財經報道,Polygon Labs總裁Ryan Wyatt在他的書中寫道,他希望有一天能領導一家公司。現在他正在做這件事,盡管是在一個非常不同的行業。他認為下一個巨大的科技巨頭或杰出人物將來自這個行業。
Wyatt表示,“我毫不懷疑,甚至就目前而言,或許下一個亞馬遜已經出現了,那個人或許會成為下一個Jeff Bezos,他就在Web3中。請注意,他就要來了,希望他是在Polygon上構建。”[2023/2/19 12:15:13]
0xf2bda964ec2d2fcb1610c886ed4831bf58f64948 (Ethereum)
Ethereum和BNB Chain上使用攻擊手法相同,以下分析基于BNB Chain上攻擊:
FTX.US旗下比特幣交易平臺LedgerX撤回清算申請:金色財經報道,美國商品期貨交易委員會(CFTC)11月14日發布聲明稱,比特幣期權交易平臺LedgerX的律師于11月11日正式撤回了FTX于2021年12月6日提交的申請,即修改FTX作為衍生品清算組織的注冊令,允許FTX提供非完全抵押的產品。該申請并未被批準。LedgerX在2021年被收購后以FTX US Derivatives的形式開展業務。[2022/11/14 13:04:00]
1. 攻擊者調用攻擊合約(0x9a84...f445)利用閃電貸從DVM合約(0xd534...0dd7)中借貸915.84 WBNB,然后將116.81 WBNB兌換成115.65 fBNB為后續攻擊做準備。
西班牙桑坦德銀行將在元宇宙舉行數字頒獎典禮:7月8日消息,西班牙桑坦德銀行將于7月14日在元宇宙為其“桑坦德X全球挑戰賽|區塊鏈”舉行頒獎儀式。該比賽總共有大約400個參賽項目。申請的截止日期是2022年6月9日,之后由國際專家組成的評審團選出20名決賽選手。7月7日,決賽選手向桑坦德銀行的開放式創新團隊Fintech Station展示了其參賽方案。(Finbold)[2022/7/9 2:01:29]
2. 攻擊者利用攻擊合約創建了10個合約,為后續攻擊做準備。
3. 攻擊者接下來將兌換得到的fBNB代幣抵押到FEGexPRO合約(0x818e...8bc7)中。
Tether:Celsius投資和貸款對Tether儲備或穩定性沒有影響:6月13日消息,Tether 在其官網發布信息表示,雖然 Tether 的投資組合確實包括對 Celsius 公司的投資,但只占股東權益的很小部分,這項投資與 Tether 自身的儲備或穩定性之間沒有相關性。
此外,Celsius 的 Tether 借貸活動(與任何其他借款人一樣)一直是超額抵押的,因此對其儲備也沒有影響。[2022/6/13 4:22:49]
4. ?然后攻擊者重復調用depositInternal和swapToSwap函數,讓FEGexPRO合約授權fBNB給之前創建好的其他攻擊合約。
5. ?然后利用其他攻擊合約調用transferFrom函數將FEGexPRO合約中fBNB全部轉移到攻擊合約(0x9a84...f445)中。
6. 接下來又在LP交易對合約(0x2aa7...6c14)中借貸31,217,683,882,286.007211154 FEG代幣和423 WBNB。
7. 然后重復3、4、5步驟的攻擊手法,將FEGexPRO合約中大量FEG代幣盜取到攻擊合約中。
8. 然后歸還閃電貸,將獲得的WBNB轉入攻擊合約中完成此筆攻擊。
9. 此后,又利用相同的原理,執行了50余筆相同的攻擊,最獲利約144 ETH和3280 BNB。
本次攻擊主要利用了FEGexPRO合約中swapToSwap函數中path地址可控且合約中未對path地址進行有效性校驗的漏洞。由于合約中depositInternal函數中更新用戶余額時依賴于合約中當前代幣余額,攻擊者通過傳入一個惡意的path地址,調用swapToSwap函數時合約中代幣余額并未發生變化,導致攻擊者可以反復重置攻擊合約在FEGexPRO合約中記錄的代幣數量,從而讓FEGexPRO合約將自身代幣反復授權給攻擊者所控制的多個惡意合約。
截止發文時,被盜資金仍在攻擊者地址(0x73b3...ff7c)中并未轉移。
針對本次事件,成都鏈安技術團隊建議:
項目開發時,應該注意與其他合約交互時可能存在的安全風險,盡量避免將關鍵參數設置為用戶可控。如果業務需求如此,則需要嚴格判斷用戶輸入的參數是否存在風險。此外建議項目上線前選擇專業的安全審計公司進行全面的安全審計,規避安全風險。
從茹毛飲血的原始社會到萬物智聯的智能社會,伴隨著技術的發展和人類對美好生活的需求,生產力得到了飛速發展.
1900/1/1 0:00:00我們看到了不同的加密資產有不同的單一或者多屬性特性,對于具有穩定現金流的成熟型項目(比如主流DEX), 我們可以使用傳統金融市場的估值模型,而對于一些治理相關的資產(參與投票或者國庫支出).
1900/1/1 0:00:00在 5 月 10 日現場直播的聽證會上,美國財政部長耶倫(Janet Yellen)呼吁在年底前通過穩定幣立法,并強調了圍繞 TerraUSD (UST) 的風險.
1900/1/1 0:00:00就在國內#品牌+NFT=NFT#的模式如火如荼進行中的時候,4月24日晚,中國李寧官方微博宣布:【中國李寧無聊猿潮流運動俱樂部】突襲發售!并配文:來自Web3.0名門望族Bored Ape Ya.
1900/1/1 0:00:00在昨天的文章中,我和大家分享了我認為會影響接下來行情走勢的兩大矛盾,一是美聯儲的政策,二是加密生態自身的發展狀況.
1900/1/1 0:00:002022年5月18日,由美國Wom Labs打造的跨時代的應用型音樂NFT平臺 Wom上線,一個全新的音樂世界隨之而來.
1900/1/1 0:00:00