2022年5月16日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,Ethereum和BNB Chain上FEGtoken項目的FEGexPRO合約遭受黑客攻擊,黑客獲利約3280?BNB?以及144 ETH,價值約130萬美元。成都鏈安技術團隊對事件進行了分析,結果如下。
事件相關信息
本次攻擊事件包含多筆交易,部分交易信息如下所示:
攻擊交易?(部分)
0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063?(BNB Chain)
CZ:Paxos已保證資金的安全性:2月13日,Binance創始人CZ發布推文就近期“SEC調查BUSD發行商Paxos”風波進行回應表示:Paxos將繼續提供產品服務,并管理贖回功能。Paxos還向我們保證,這些資金是安全的,并且完全能夠由其銀行準備金覆蓋,其準備金已經被多個審計公司進行多次審計。[2023/2/13 12:04:29]
0x1e769a59a5a9dabec0cb7f21a3e346f55ae1972bb18ae5eeacdaa0bc3424abd2?(Ethereum)
攻擊者地址
0x73b359d5da488eb2e97990619976f2f004e9ff7c
攻擊合約
0x9a843bb125a3c03f496cb44653741f2cef82f445
BTC突破18000美元 刷新一個月新高:金色財經報道,BTC突破18000美元,現報18245.78美元,24小時漲幅為4.38%,刷新一個月新高。行情波動較大,請做好風險控制。[2023/1/12 11:07:33]
被攻擊合約(部分)
0x818e2013dd7d9bf4547aaabf6b617c1262578bc7?(BNB Chain)
0xf2bda964ec2d2fcb1610c886ed4831bf58f64948 (Ethereum)
Ethereum和BNB Chain上使用攻擊手法相同,以下分析基于BNB Chain上攻擊:
1. 攻擊者調用攻擊合約(0x9a84...f445)利用閃電貸從DVM合約(0xd534...0dd7)中借貸915.84 WBNB,然后將116.81 WBNB兌換成115.65 fBNB為后續攻擊做準備。
數據:近30天幣本位BTC合約持倉量持續超60萬枚:9月13日消息,據Coinglass數據,全網近約30天幣本位BTC合約持倉量持續超60萬枚。其中Binance合約持倉量持續排名第一,OKX排名第二。[2022/9/13 13:27:01]
2. 攻擊者利用攻擊合約創建了10個合約,為后續攻擊做準備。
3. 攻擊者接下來將兌換得到的fBNB代幣抵押到FEGexPRO合約(0x818e...8bc7)中。
dYdX將于8月3日遷移服務器,停機大約兩個小時:7月31日消息,dYdX表示,將于8月3日遷移服務器,從美國東部標準時間上午10點到下午12點,將有大約兩個小時的停機時間;在此期間,用戶將無法訪問交易所,訂單將無法成交。[2022/8/1 2:50:25]
4. ?然后攻擊者重復調用depositInternal和swapToSwap函數,讓FEGexPRO合約授權fBNB給之前創建好的其他攻擊合約。
5. ?然后利用其他攻擊合約調用transferFrom函數將FEGexPRO合約中fBNB全部轉移到攻擊合約(0x9a84...f445)中。
Multichain將于8月推出MultiDAO:7月29日消息,據官方推特,跨鏈互操作性協議Multichain宣布將于8月推出MultiDAO。[2022/7/29 2:45:52]
6. 接下來又在LP交易對合約(0x2aa7...6c14)中借貸31,217,683,882,286.007211154 FEG代幣和423 WBNB。
7. 然后重復3、4、5步驟的攻擊手法,將FEGexPRO合約中大量FEG代幣盜取到攻擊合約中。
8. 然后歸還閃電貸,將獲得的WBNB轉入攻擊合約中完成此筆攻擊。
9. 此后,又利用相同的原理,執行了50余筆相同的攻擊,最獲利約144 ETH和3280 BNB。
本次攻擊主要利用了FEGexPRO合約中swapToSwap函數中path地址可控且合約中未對path地址進行有效性校驗的漏洞。由于合約中depositInternal函數中更新用戶余額時依賴于合約中當前代幣余額,攻擊者通過傳入一個惡意的path地址,調用swapToSwap函數時合約中代幣余額并未發生變化,導致攻擊者可以反復重置攻擊合約在FEGexPRO合約中記錄的代幣數量,從而讓FEGexPRO合約將自身代幣反復授權給攻擊者所控制的多個惡意合約。
截止發文時,被盜資金仍在攻擊者地址(0x73b3...ff7c)中并未轉移。
針對本次事件,成都鏈安技術團隊建議:
項目開發時,應該注意與其他合約交互時可能存在的安全風險,盡量避免將關鍵參數設置為用戶可控。如果業務需求如此,則需要嚴格判斷用戶輸入的參數是否存在風險。此外建議項目上線前選擇專業的安全審計公司進行全面的安全審計,規避安全風險。
Tags:BNBFEGPROEXPRtogetherbnb手游下載官網SAFEGALAXY 幣Thirm ProtocolEXPR幣
消費者利用京東智臻鏈防偽溯源平臺對進口蘋果溯源近期,疫情在全國多地散發,物流疏通、產業鏈供應鏈穩定重要性凸顯.
1900/1/1 0:00:00以太坊2.0質押量超1260萬枚,創歷史新高:據5月16日報道,分析平臺Nansen數據顯示,以太坊2.0質押量已超1260萬枚,占流通總量的10.4%,創歷史新高.
1900/1/1 0:00:00最高人民法院微信公眾號消息,2022年5月25日,最高人民法院發布《最高人民法院關于加強區塊鏈司法應用的意見》(下稱《意見》).
1900/1/1 0:00:00NFT行業內卷程度,絕不亞于任何一個行業。已出現競爭對手之間的互相抹黑,甚至出現了系列訴訟案件。“挖坑式”NFT維權層出不窮.
1900/1/1 0:00:00金色觀察|比特幣連續8周下跌創紀錄 如何看待加密貨幣后市?分析師指出,加密價格的下降會導致挖礦的減少,但這可能在更長的時間內發生.
1900/1/1 0:00:00根據Reddit的最新用戶數據,隨著天氣的變暖,元宇宙中的“浪漫”也開始升溫,越來越多的用戶在元宇宙中約會。 而從室內設計到食品訂閱服務,各行業的品牌都開始參與到這一商業機會中.
1900/1/1 0:00:00