2022年4月17日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,算法穩定幣項目BeanstalkFarms遭黑客攻擊,黑客獲利近8000萬美元,成都鏈安技術團隊第一時間對事件進行了分析,結果如下。
#1事件相關信息
攻擊交易
0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7
攻擊者地址
0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4
波卡生態智能合約平臺Moonbeam宣布第一批生態系統補助金撥款窗口已正式關閉:3月14日消息,波卡生態智能合約平臺Moonbeam在社交媒體宣布第一批生態系統補助金撥款窗口已正式關閉,即日起自3月17日社區和撥款委員會將會通過Moonbeam社區論壇提供反饋。
在反饋期結束后,項目團隊將在3月19日之前進行整合并完成所有申請調整,社區撥款委員會隨后也將在Snapshot啟動進行加權社區投票,以決定如何在符合條件的提案之間分配第一筆生態補助金撥款預算。[2023/3/14 13:02:24]
攻擊合約
0x79224bC0bf70EC34F0ef56ed8251619499a59dEf
StellaSwap與Axelar網絡合作為Moonbeam Network帶來跨鏈應用:7月30日,據官方消息,Moonbeam生態DEX StellaSwap正式宣布與Axelar網絡達成合作,以為Moonbeam Network帶來跨鏈應用。據介紹,Axelar為Web3提供了安全的跨鏈通信。通過其去中心化網絡、API和開發工具,DApp開發人員構建了一鍵式體驗,可在任何鏈上連接任何資產或應用程序。
StellaSwap與Axelar的合作包括三個核心部分:
- StellaSwap將利用Axelar的跨鏈基礎設施,實現與其他16個區塊鏈網絡應用的互操作性和可組合性;
- 在StellaSwap上啟動axlUSD Metapool;
- Axelar橋接集成。
總體而言,此次長期合作伙伴關系允許StellaSwap利用Axelar建立的跨鏈基礎設施,支持Moonbeam上的用戶最終以無縫方式與其他區塊鏈網絡交互。[2022/7/30 2:48:20]
被攻擊合約
Biconomy將為在Moonbeam網絡構建的DApp提供Gas補助:3月12日消息,多鏈基礎設施Biconomy宣布為在Moonbeam網絡構建的DApp提供Gas補助,以贊助其用戶的Gas費用。Biconomy將為成功申請的DApp直接提供500美元Gas補助,若項目在上線的前45天內完成2萬筆交易,Biconomy將報銷額外的Gas費,最多1500美元。此外,Biconomy將為所有申請者中的前50個使用Gasless的DApp提供Gas補助。[2022/3/12 13:51:46]
0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5
#2攻擊流程
1.攻擊者從攻擊的前一天發起了提案交易,提案通過會提取Beanstalk:BeanstalkProtocol合約中的資金。
2.黑客通過閃電貸換取了350,000,000個DAI,500,000,000個USDC,150,000,000個USDT,32,100,950個BEAN和11,643,065個LUSD作為資金儲備。
3.黑客將2步驟的DAI,USDC,USDT資金在Curve.fiDAI/USDC/USDT交易池中添加為979,691,328個3Crv流動性代幣,用15,000,000個3Crv換來15,251,318個LUSD。
4.將964,691,328個3Crv代幣兌換為795,425,740個BEAN3CRV-f用于投票,將32,100,950個BEAN和26,894,383LUSD添加流動性得到58,924,887個BEANLUSD-f流動性代幣。
5.使用4步驟中的BEAN3CRV-f和BEANLUSD-f來對提案進行投票,導致提案通過。從而Beanstalk:BeanstalkProtocol合約向攻擊合約轉入了36,084,584個BEAN,0.54個UNI-V2,874,663,982個BEAN3CRV-f以及60,562,844個BEANLUSD-f。
6.最后攻擊者將流動性移除并歸還閃電貸,把多余的代幣兌換為24830個ETH轉入攻擊者賬戶中。
#3漏洞分析
本次攻擊主要利用了投票合約中的票數是根據賬戶中的代幣持有量得到的。
攻擊者至少在一天前發起提取Beanstalk:BeanstalkProtocol資金的提案,然后調用emergencyCommit進行緊急提交來執行提案,這個就是攻擊者1天之前發起攻擊準備的原因所在。
#4資金追蹤
截止發文時,攻擊者獲利22029601個USDC,14742429個DAI,6,603,829個USDT與0.5407個UNI-V2,640224美元的BAEN代幣資金近8000萬,在攻擊時將其中的25萬USDC捐贈了烏克蘭,之后攻擊者將資金轉換為ETH并將資金持續向Tornado.Cash轉移。
針對本次事件,成都鏈安技術團隊建議:
1.投票所用資金應在合約中鎖定一定時間,避免使用賬戶的當前資金余額來統計投票數量,以避免可能出現的反復投票以及使用閃電貸進行投票;
2.項目方和社區應關注所有提案,如果提案是惡意提案,建議在提案投票期間應及時做出處理措施,將提案廢棄,禁止其接受投票以及執行;
3.可考慮禁止合約地址參與投票;此外項目上線前最好進行全面的安全審計,規避安全風險。
DearValuedUsers,Sincethestartofourbrokerprogram.
1900/1/1 0:00:00前言:投資有風險,操作需謹慎。文章審核需要時間,會出現延遲發布情況,文章僅供參考,歡迎閱覽!本文撰寫時間:4月19日14:15 行情回顧 昨日下探刷新低點觸及38500一線后開始反彈,白盤一直維.
1900/1/1 0:00:00尊敬的用戶:? BKEX現已完成LUFFY智能合約置換,并將于2022年4月19日18:00恢復LUFFY/USDT交易對交易功能,以及LUFFY的充值與提現功能.
1900/1/1 0:00:00根據ClinTexCTi(CTI)官方公告,ClinTexCTi(CTI)計劃於5月10日進行代幣升級兌換.
1900/1/1 0:00:00原文作者:Maven11原文編譯:GaryMa吳說區塊鏈?吳說獲得作者授權翻譯轉載,與文中項目無利益相關.
1900/1/1 0:00:00Apr.2022,VincyDataSource:FootprintAnalytics-March2022ReportDashboard面對2、3月份緊張的國際環境.
1900/1/1 0:00:00