北京時間2022年5月16日凌晨4:22:49,CertiK安全技術團隊監測到FEG在以太坊和BNB鏈上遭受大規模閃電貸攻擊,導致了價值約130萬美元的資產損失。
此攻擊是由“swapToSwap()”函數中的一個漏洞造成的,該函數在未對傳入參數進行篩查驗證的情況下,直接將用戶輸入的 "path "作為受信任方,允許未經驗證的 "path "參數(地址)來使用當前合約的資產。
因此,通過反復調用 "depositInternal() "和 "swapToSwap()",攻擊者可獲得無限制使用當前合約資產的許可,從而盜取合約內的所有資產。
受影響的合約地址之一:https://bscscan.com/address/0x818e2013dd7d9bf4547aaabf6b617c1262578bc7
CertiK:EOA地址已將20枚ETH轉入Tornado Cash:金色財經報道,據CertiK官方推特發布消息稱,EOA地址(0xe971和0xae87)已將20枚ETH(約3.67萬美元)轉入Tornado Cash。這兩個地址的資金都來自被大量出售的STU代幣,導致其價格驟跌99.9%。[2023/6/29 22:07:49]
漏洞交易
漏洞地址: https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c?
漏洞交易樣本:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063
被盜資金追蹤:https://debank.com/profile/0x73b359d5da488eb2e97990619976f2f004e9ff7c/history
CertiK:Push Protocol項目Discord服務器已被入侵:金色財經消息,據CertiK監測,Push Protocol項目Discord服務器已被入侵,有黑客發布釣魚鏈接。在團隊確認已重獲對服務器的控制之前,請勿點擊任何鏈接。[2023/5/30 11:47:40]
相關地址
攻擊者地址:https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c
攻擊者合約:https://bscscan.com/address/0x9a843bb125a3c03f496cb44653741f2cef82f445
FEG代幣地址:https://bscscan.com/token/0xacfc95585d80ab62f67a14c566c1b7a49fe91167
聲音 | Larry Cermak:比特幣死亡螺旋基本不可能:The Block首席分析師Larry Cermak在twitter上表示,比特幣12月3日迎來自ASIC礦機以來最大幅度的挖礦難度下降,難度將到4個月新低,但仍然是2018年1月的2倍。挖礦難度緊隨著算力變動,算力下降,難度也會緊隨著調整。因此,比特幣死亡螺旋嚴重不可能。[2018/12/4]
FEG Wrapped BNB(fBNB): https://bscscan.com/address/0x87b1acce6a1958e522233a737313c086551a5c76#code
攻擊步驟
以下攻擊流程基于該漏洞交易:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063
韓國區塊鏈公司Certon.In參與日本虛擬貨幣'BaaSid’項目:今日(5日)韓國區塊鏈公司Certon.In宣布為了加強其子公司‘X-Chain’的個人認證服務將參與日本安全公司PRO主導準備的基于去中心化認證的虛擬貨幣項目 ‘BaaSid’。根據Certon.In公司的描述, ‘BaaSid’是將用戶敏感的個人身份驗證信息進行拆分,并將這些被拆分的信息在單獨的節點上進行分離·分散的儲存, 進行登錄、付款或使用網上銀行時可以進行暫時合并。該網絡平臺沒有在線服務提供商(OSP)提供的中心化數據庫,是一個即時驗證(即時訪問)的去中心化數據庫公共網絡平臺。[2018/2/5]
① 攻擊者借貸915 WBNB,并將其中116 BNB存入fBNB。
② 攻擊者創建了10個地址,以便在后續攻擊中使用。
③攻擊者通過調用 "depositInternal() "將fBNB存入合約FEGexPRO。
根據當前地址的余額,"_balances2[msg.sender]"被增加。
④ 攻擊者調用了 "swapToSwap()",路徑參數是之前創建的合約地址。
該函數允許 "path "獲取FEGexPRO合約的114 fBNB。
⑤ 攻擊者反復調用 "depositInternal() "和 "swapToSwap()"(步驟③和④),允許多個地址(在步驟②中創建)獲取fBNB代幣,原因如下:
每次 "depositInternal() "被調用,_balance2[msg.sender]將增加約114 fBNB。
每次"swapToSwap()"被調用,攻擊者所創建合約能獲取該114 fBNB的使用權限。
⑥?由于攻擊者控制了10個地址,每個地址均可從當前地址花費114個fBNB,因此攻擊者能夠盜取被攻擊合約內的所有fBNB。
⑦ 攻擊者重復步驟④⑤⑥,在合約內耗盡FEG代幣。
⑧ 最后攻擊者出售了所有耗盡的資產,并償還閃電貸款,最終獲取了其余利潤。
資產去向
截至2022年5月16日6:43,被盜資金仍存儲在以太坊和BSC鏈上的攻擊者錢包(0x73b359d5da488eb2e97990619976f2f004e9ff7c)中。
原始資金來自以太坊和BSC的Tornado cash:https://etherscan.io/tx/0x0ff1b86c9e8618a088f8818db7d09830eaec42b82974986c855b207d1771fdbe
https://bscscan.com/tx/0x5bbf7793f30d568c40aa86802d63154f837e781d0b0965386ed9ac69a16eb6ab
攻擊者攻擊了13個FEGexPRO合約,以下為概覽:
餓了么數字美食藏品主打“美味中國”和“美味時令”兩個系列,搭建“美味珍藏館”,集中展示用戶獲得的典藏菜品、菜系歷史、節氣美食等文化賞鑒內容.
1900/1/1 0:00:00G7 于今日發布一份官方聲明,聲明中提到三點涉及數字金融的內容,其中主的注意的是,該申明提及了有關 CBDC 以及穩定幣監管等問題.
1900/1/1 0:00:00技術的發展讓旅行者在開始旅行前,就能獲得旅行體驗。即使目前元宇宙旅行還未完全實現,但它將是沖擊旅行業的下個大事件。像太空旅行一樣,把想法建起來,粉絲就會跟隨.
1900/1/1 0:00:00整個國際市場熊了,大部分在這一周期里募資、發幣的項目,都賺了豐厚的資產。這個時候是不是該專心好好做做項目了? 這個問題仍舊沒有答案.
1900/1/1 0:00:00Waves公鏈的生態在一定程度上借鑒了Terra,面臨問題較大,支持比率較低。UST暴雷之后,去中心化穩定幣受到全面重創,截至5月18日,DAI和FRAX的流通量在本月分別下降26.6%%和44.
1900/1/1 0:00:00去中心化金融是我們當前金融體系更民主化的版本,它將在幾年內成熟,使人們在使用他們的數字貨幣時更加獨立和負責.
1900/1/1 0:00:00