2月10日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,DeFi應用DegoFinance遭到黑客攻擊,UniSwap和PancakeSwap上的DEGO流動性已被耗盡。關于本次攻擊,成都鏈安技術團隊第一時間進行了資金流向分析。
#1事件概覽
據悉,DegoFinance于2020年9月啟動,以打造可持續性和實用性的NFT生態系統為目標,打造了NFT+DeFi平臺。有人說,在DeFi的世界里,DEGO就相當于樂高。將每一個DeFi協議當作是一塊磚,包括穩定幣(DAI)、借貸(Aave,Compound)、去中心化交易所DEX(UniswapandBalancer)、衍生品(Synthetix)和保險(NexusMutual)等等。
Arbitrum生態鏈游MetaLine指控iZUMi Finance挪用挖礦獎勵并拋售其Token:6月13日消息,Arbitrum 生態鏈游 MetaLine 發文指控多鏈 DeFi 協議 iZUMi Finance 挪用挖礦獎勵并拋售其 Token。文中稱,MetaLine 5 月下旬同意與 iZUMi Finance 正式合作并參與其雙倍獎勵挖礦活動。作為本次活動的一部分,MetaLine 承諾創建一個價值 6 萬美元的 MTG 流動性資金池,并提供價值 2 萬美元的 MTG 作為挖礦獎勵。同時,iZUMi Finance 將提供價值 5000 美元的 IZI 作為挖礦獎勵。
MetaLine 隨后向 iZUMi Finance 提供的地址發送價值 2 萬美元的 MTG,并啟動挖礦獎勵活動。但 MetaLine 通過鏈上跟蹤和監控 iZUMi Finance 地址(0x00097ed1dAcdbAB9141835852f8de20D690B6f94)發現,iZUMi Finance 挪用價值 1 萬美元的 MTG,僅將 MetaLine 發送的一半 MTG 納入流動性挖礦獎勵池。除此之外,iZUMi Finance 還拋售一部分未被納入流動性挖礦獎勵池的 MTG(價值超過 2640 美元),并將這部分資金納入到挖礦獎勵池,繼續進行挖礦。MetaLine 表示試圖向 iZUMi 尋求澄清,但尚未收到回復。[2023/6/13 21:33:58]
2月10日,DegoFinance官方推特發布公告稱被黑客攻擊,DeFi世界的樂高就這樣“塌了”!
Blur上線手機端NFT購買功能:金色財經報道,據Blur在社交媒體發布功能公告,該NFT平臺現在已支持在手機端瀏覽和購買NFT,后續即將推出更多其他移動端功能。[2023/3/14 13:02:10]
本次攻擊涉及多個賬戶地址私鑰泄露,黑客利用私鑰提取了多個鏈上的資產,具體分析請接著往下閱讀。
#2事件具體分析
我們以ETH鏈上攻擊為例,對Dego項目方其中一個地址的資金流向做了詳細分析。
首先,項目方私鑰泄露的DEGO.Finance:Deployer地址為:
0x20FE4B1eD95911487499e53355BB8f14a881D735
Binance將于11月28日下架多個現貨交易對:據官方消息,Binance宣布將于11月28日11:00下架ARK/BTC、BEAM/BTC、BTCST/BTC、BTCST/USDT、GTO/BTC、GTO/USDT、MITH/BTC、MITH/BNB、PERL/BTC、PNT/BTC、REP/BTC、SRM/BNB、SRM/BTC、SRM/USDT、TRIBE/USDT、XEM/BTC現貨交易對。[2022/11/25 20:44:52]
攻擊者地址為:
0x118203B0f2A3ef9e749D871C8fEF5e5e55ef5C91
1?攻擊者通過私鑰,使用minter權限分別向DEGO.Finance:Deployer賬戶和0x118賬戶鑄造了592,582.35個dego代幣。
2?之后移除ETH-dego交易池的流動性。
3?攻擊者通過DEGO.Finance:Deployer賬戶移除流動性獲取了269,502個dego代幣和378個ETH。
4然后將DEGO.Finance:Deployer賬戶獲取的378個ETH轉給了0x118地址。
同時,該黑客轉移原本屬于項目方地址的441個yvWETH給0x118地址。
此時0x118賬戶上有獲利的750.37個ETH和其他轉入的7.10個ETH一共757.4個。
截止目前發文,在Ethereum鏈上,攻擊者在0x118地址將441個yvWETH轉入Zapper.Fi:YearnyVaultZapOut兌換了445個ETH,獲取共1202個ETH,轉入Tornado.Cash:Proxy400ETH。向0x47a344588653efA88eB6D58433B6A2A5E202D65d地址轉入202個ETH。
在Cronos鏈上,在0x118地址獲取了196256.7個USDT和199401.9個USDCoin,還未轉出。
在BSC鏈上,獲取3736.17個BNB,通過代幣兌換獲取9188個BNB。向0x47a344588653efA88eB6D58433B6A2A5E202D65d地址轉入了12,741個BNB。
三條鏈上0x118地址總計約17,627,676美元,目前,官方稱正在調查原因并試圖挽回損失。
隨著DeFi的不斷發展,DeFi項目的安全問題也愈發緊急。對比于傳統金融,DeFi的底層靠的是智能合約,本質上是程序,程序擁有傳統金融不可比擬的高效性和便捷性,但也存在傳統金融無需考慮的代碼漏洞問題。所以成都鏈安建議大家,對未公開智能合約和審計報告的項目,要保持警惕,項目方也需要避免私鑰泄露,導致項目受損。
擴展閱讀:
純干貨分享|DEFI安全問題之基礎篇
當DeFi淪為黑客的“提款機”,我們如何保證它的安全性?
Tags:ANCNCENANFINwanchainLemur FinanceBees FinanceINFINITYADA
基于區塊鏈的投資協議Syndicate聲稱,目前存在的所有去中心化自治組織(DAO)中,有10%是在其平臺上運行不到三周時間創建的.
1900/1/1 0:00:00生活總是重復無聊,因此每個人都在尋找突破,因此我們如此欣賞,如此懷念DavidBowie。我們懷念他變幻無窮的曲風,懷念他大膽前衛的造型,懷念他酷炫大氣的舞臺表演,懷念他不斷突破自己的勇氣與奇思.
1900/1/1 0:00:00有關DAO的新聞層出不窮,前有憲法DAO拍賣憲法原件,后有阿桑奇DAO以求釋放阿桑奇為目標。DAO也就是去中心化自治組織,是一種組織架構與管理的新范式.
1900/1/1 0:00:00加密貨幣和更廣泛的區塊鏈生態系統正在幫助改變我們日常生活的現狀。有了這些新興技術,Web3作為一種使用中間件區塊鏈協議的無需許可的開放式創新被引入.
1900/1/1 0:00:00隨著區塊鏈技術熱度不斷走高,虛擬貨幣作為其核心的新興技術產物,逐漸成為了犯罪分子的新目標,導致行業混亂.
1900/1/1 0:00:00來源|淺黑科技 文|史中 9527和7523? 在《唐伯虎點秋香》的世界里,9527只是一個家奴。但在某個賽博世界,9527卻等于34萬美元.
1900/1/1 0:00:00