買比特幣 買比特幣
Ctrl+D 買比特幣
ads

STA:黑客獲利近8000萬美元 惡意提案如何防范?_BEA

Author:

Time:1900/1/1 0:00:00

2022年4月17日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,算法穩定幣項目Beanstalk Farms遭黑客攻擊,黑客獲利近8000萬美元,成都鏈安技術團隊第一時間對事件進行了分析,結果如下。

1 事件相關信息

攻擊交易

0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7

攻擊者地址

0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4

攻擊合約

0x79224bC0bf70EC34F0ef56ed8251619499a59dEf

安全團隊:SNK項目遭受攻擊,黑客獲利約19萬美元:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,SNK項目遭受攻擊(0x7394f2520ff4e913321dd78f67dd84483e396eb7a25cbb02e06fe875fc47013a),黑客利用SNK的邀請獎勵機制獲利19萬美元,目前資金仍在黑客地址中0x7738B2f18d994C7c8Fa10E1FE456069624740f3e,Beosin Trace將持續對資金流向進行監控。[2023/5/10 14:54:01]

被攻擊合約

0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5

2 攻擊流程

NFT 借貸協議 XCarnival 遭到攻擊,黑客獲利約 380 萬美元:6月26日消息,PeckShield 發推稱,NFT 借貸協議 XCarnival 遭到攻擊,黑客獲利 3087 枚以太坊(約 380 萬美元),而協議損失可能更高。黑客地址為 0xb7CBB4d43F1e08327A90B32A8417688C9D0B800a,PeckShield 表示本次攻擊或由于已解除抵押的 NFT 仍被作為抵押品所致。[2022/6/27 1:33:01]

1. 攻擊者從攻擊的前一天發起了提案交易,提案通過會提取Beanstalk: Beanstalk Protocol合約中的資金。

派盾:BNB Chain和以太坊上的Umbrella Network獎勵池被抽取,黑客獲利70萬美元:3月20日消息,派盾發推稱,BNB Chain和以太坊上的Umbrella Network獎勵池已被抽取,導致黑客獲利70萬美元。可能發生了黑客攻擊,因為withdraw()中存在未檢查的下溢,所以任何人都可以提取任何金額,即使沒有任何余額。并提醒Umbrella Network查看BNB Chain和以太坊上的StakingReward Contract。[2022/3/20 14:07:51]

2. 黑客通過閃電貸換取了350,000,000個DAI,500,000,000個USDC,150,000,000個USDT,32,100,950個BEAN和11,643,065個LUSD作為資金儲備。

BSC上借貸協議Ploutoz Finance遭到攻擊,黑客獲利約36.5萬美元:11月23日消息,據PeckShield消息,幣安智能鏈上借貸協議Ploutoz Finance遭到攻擊,黑客獲利約36.5萬美元,而協議的損失更大。由于$DOP的價格預言機操縱使得本次黑客攻擊成為可能。具體來說,黑客利用被操縱的$DOP作為抵押品借入其他資產,包括$CAKE、$ETH、$BTCB等。隨后黑客通過ParaSwap和PancakeSwap交易為BNB后轉入混幣協議 @TornadoCash,值得注意的是,此次攻擊的初始資金也是從混幣協議 @TornadoCash轉出來的。[2021/11/23 22:12:11]

3. 黑客將2步驟的DAI,USDC,USDT資金在Curve.fi DAI/USDC/USDT交易池中添加為979,691,328個3Crv流動性代幣,用15,000,000個3Crv換來15,251,318個LUSD。

4. 將964,691,328個3Crv代幣兌換為795,425,740個BEAN3CRV-f用于投票,將32,100,950個BEAN和26,894,383LUSD添加流動性得到58,924,887個BEANLUSD-f流動性代幣。

5. 使用4步驟中的BEAN3CRV-f和BEANLUSD-f來對提案進行投票,導致提案通過。從而Beanstalk: Beanstalk Protocol合約向攻擊合約轉入了36,084,584個BEAN,0.54個UNI-V2,874,663,982個BEAN3CRV-f以及60,562,844個BEANLUSD-f。

6. 最后攻擊者將流動性移除并歸還閃電貸,把多余的代幣兌換為24830個ETH轉入攻擊者賬戶中。

3 漏洞分析

本次攻擊主要利用了投票合約中的票數是根據賬戶中的代幣持有量得到的。

攻擊者至少在一天前發起提取Beanstalk: Beanstalk Protocol資金的提案,然后調用emergencyCommit進行緊急提交來執行提案,這個就是攻擊者1天之前發起攻擊準備的原因所在。

4 資金追蹤

截止發文時,攻擊者獲利22029601 個USDC ,14742429個 DAI,6,603,829個USDT與0.5407個UNI-V2,640224美元的BAEN代幣資金近8000萬,在攻擊時將其中的25萬USDC捐贈了烏克蘭,之后攻擊者將資金轉換為ETH并將資金持續向Tornado.Cash轉移。

針對本次事件,成都鏈安技術團隊建議:

1. 投票所用資金應在合約中鎖定一定時間,避免使用賬戶的當前資金余額來統計投票數量,以避免可能出現的反復投票以及使用閃電貸進行投票;

2. 項目方和社區應關注所有提案,如果提案是惡意提案,建議在提案投票期間應及時做出處理措施,將提案廢棄,禁止其接受投票以及執行;

3. 可考慮禁止合約地址參與投票;此外項目上線前最好進行全面的安全審計,規避安全風險。

Tags:BEAUSDSTAANSYFMoonBeamCK USDSAFESTAR幣DOGEFANS幣

歐易交易所
REL:金色觀察|Relation:個人擁有的Web3社交圖譜_ela幣會不會漲到100

近些天,一直在尋找公鏈上的社交應用協議,可以很明顯發現的是,web3的社交已經脫胎于web2的形態,以公鏈上的數據為核心要素去設計.

1900/1/1 0:00:00
SWAP:金色觀察 | Uniswap DEX成立新投資基金 全力打造 Web3_LABS

主要的去中心化交易所 Uniswap 宣布創建Uniswap Labs Ventures(ULV),這是一個新風險投資基金,專注于投資Web3公司.

1900/1/1 0:00:00
NBS:NFT思想家6529的元宇宙暢想 倆字:通透_NFTI價格

4 月 15 日,在業內素有著“思想家”美譽的知名 NFT 收藏者 6529 在推特上介紹了自己正在牽頭構建的全新項目 OM.

1900/1/1 0:00:00
NFT:首例NFT欺詐案 NFT模因市場離刑事犯罪還有多遠?_TIE

近年來,NFT市場在國內外一度掀起熱潮,特別是在2021年的第三季度,NFT市場迎來爆發式增長,總交易額達到上百億.

1900/1/1 0:00:00
穩定幣:為失敗而生:算法穩定幣的內在脆弱性_TER

算法穩定幣天生就是脆弱的,這些無抵押的數字資產試圖使用金融工具、算法和市場激勵來掛鉤參考資產的價格,它們根本不穩定,而是處于永久脆弱的狀態.

1900/1/1 0:00:00
區塊鏈:什么是影子分叉?以太坊合并領導人解讀相關疑問_區塊鏈的未來發展前景ppt

合并 Kiln 合并到底發生了什么?和主網一樣,Kiln 以單獨的 PoW 鏈和 PoS 鏈啟動。通過合并,它現在完全在 PoS 下運行.

1900/1/1 0:00:00
ads