以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

BSC:加密版無損「倒信用卡」獲利百萬美元,FEG閃電貸攻擊事件分析-ODAILY

Author:

Time:1900/1/1 0:00:00

北京時間2022年5月16日凌晨4:22:49,CertiK安全技術團隊監測到FEG在以太坊和BNB鏈上遭受大規模閃電貸攻擊,導致了價值約130萬美元的資產損失。

此攻擊是由“swapToSwap()”函數中的一個漏洞造成的,該函數在未對傳入參數進行篩查驗證的情況下,直接將用戶輸入的"path"作為受信任方,允許未經驗證的"path"參數來使用當前合約的資產。

因此,通過反復調用"depositInternal()"和"swapToSwap()",攻擊者可獲得無限制使用當前合約資產的許可,從而盜取合約內的所有資產。

機構分析:比特幣新年陰跌 創加密貨幣時代以來最差年度開局:1月10日消息,比特幣六天來第五次下跌,創下數字貨幣時代以來最差年度開局。比特幣日內一度下跌3.7%至40766美元,今年以來累計下跌約為12%,為2012年以來最大開年跌幅。“隨著美聯儲減少流動性注入,加密貨幣可能繼續面臨壓力,”投資咨詢公司InfraCap首席執行官Jay Hatfield表示,“比特幣2022年可能跌破2萬美元。”

分析師Mike McGlone表示,40000美元是一個重要技術支撐位。加密貨幣是當前風險偏好下降的一個代表。但他預計,隨著世界越來越數字化、比特幣成為基準抵押品,比特幣最終將否極泰來。(金十)[2022/1/11 8:39:42]

受影響的合約地址之一:https://bscscan.com/address/0x818e2013dd7d9bf4547aaabf6b617c1262578bc7

瑞銀CEO:加密貨幣不是投資,更多的是一種投機:10月27日消息,瑞士跨國投資銀行瑞銀集團(UBS Group AG)的首席執行官Ralph Hamers表示,他不認為加密貨幣是一項投資,這種新的資產類別僅僅是一種投機工具,真正了解加密貨幣價值的參與者并不多。(U.today)[2021/10/27 21:02:10]

漏洞交易

漏洞地址:https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c

漏洞交易樣本:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063

動態 | Circle與NICE Actimizes合作以加強加密市場監控:據Finance magnates報道,高盛支持的區塊鏈創業公司Circle今天宣布與金融犯罪、風險和合規解決方案提供商NICE Actimizes合作。Actimize的合規性軟件可以幫助加密貨幣公司和執法機構實時檢測可疑活動,并獲取執法信息。[2019/2/28]

被盜資金追蹤:https://debank.com/profile/0x73b359d5da488eb2e97990619976f2f004e9ff7c/history

相關地址

攻擊者地址:https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c

聲音 | 加密貨幣分析師Willy Woo:比特幣換手量非常不穩定 表明還未觸底:加密貨幣分析師Willy Woo近日發推文稱,比特幣要進入底部,要求換手量變得穩定,但目前比特幣換手量是非常不穩定的,這相當于熊市中期,表明比特幣價格還未到底部。[2019/1/16]

攻擊者合約:https://bscscan.com/address/0x9a843bb125a3c03f496cb44653741f2cef82f445

FEG代幣地址:https://bscscan.com/token/0xacfc95585d80ab62f67a14c566c1b7a49fe91167

FEGWrappedBNB(fBNB):https://bscscan.com/address/0x87b1acce6a1958e522233a737313c086551a5c76#code

政策 | 韓媒:韓國正式將加密交易所劃分為受監管銀行:據ccn報道,韓國政府首次正式承認加密交易交易所為受監管的金融機構和銀行。據韓國當地媒體報道,韓國金融當局已經完成了將加密交易所歸類為“加密貨幣交易所和經紀商”行業的計劃,以使交易平臺能夠在地方當局的支持下大規模運作。[2018/7/6]

攻擊步驟

以下攻擊流程基于該漏洞交易:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063

①攻擊者借貸915WBNB,并將其中116BNB存入fBNB。

②攻擊者創建了10個地址,以便在后續攻擊中使用。

③攻擊者通過調用"depositInternal()"將fBNB存入合約FEGexPRO。

根據當前地址的余額,"_balances2"被增加。

④攻擊者調用了"swapToSwap()",路徑參數是之前創建的合約地址。

該函數允許"path"獲取FEGexPRO合約的114fBNB。

⑤攻擊者反復調用"depositInternal()"和"swapToSwap()",允許多個地址獲取fBNB代幣,原因如下:

每次"depositInternal()"被調用,_balance2將增加約114fBNB。

每次"swapToSwap()"被調用,攻擊者所創建合約能獲取該114fBNB的使用權限。

⑥由于攻擊者控制了10個地址,每個地址均可從當前地址花費114個fBNB,因此攻擊者能夠盜取被攻擊合約內的所有fBNB。

⑦攻擊者重復步驟④⑤⑥,在合約內耗盡FEG代幣。

⑧最后攻擊者出售了所有耗盡的資產,并償還閃電貸款,最終獲取了其余利潤。

資產去向

截至2022年5月16日6:43,被盜資金仍存儲在以太坊和BSC鏈上的攻擊者錢包中。

原始資金來自以太坊和BSC的Tornadocash:https://etherscan.io/tx/0x0ff1b86c9e8618a088f8818db7d09830eaec42b82974986c855b207d1771fdbe

https://bscscan.com/tx/0x5bbf7793f30d568c40aa86802d63154f837e781d0b0965386ed9ac69a16eb6ab

攻擊者攻擊了13個FEGexPRO合約,以下為概覽:

寫在最后

本次攻擊事件本可通過安全審計來有效地避免。

CertiK安全專家認為審計過程中可以檢查出該風險——不受信任的"path"參數被傳遞到協議中,并獲取合約資產支出的權限。審計專家會將該風險歸類于主要風險級別,此外,如果進行更深層次的挖掘,還可列明被利用的多種可能。

Tags:QUOBNBBSCTPSQuontraltogetherbnb游戲解說BSC Paymentstps幣圈

以太坊交易所
穩定幣:波場USDD重磅升級,成為全世界首個去中心化超抵押穩定幣-ODAILY

自5月5日正式上線以來,波場USDD在不到一個月的時間內成功躋身全球加密市場超級新星,并創下了一系列里程碑.

1900/1/1 0:00:00
TAL:盤點華爾街銀行巨頭們布局的12家加密初創公司-ODAILY

盡管當下加密市場正在經歷史上最嚴酷的“寒冬”,但仍能看到市場也釋放了一些積極信號,比如:加密資產在全球采用率的持續增長、加密平臺逆勢擴張等.

1900/1/1 0:00:00
ABS:Yuga Labs大舉擴張,“猿”宇宙已經不遠了?-ODAILY

無聊猿母公司YugaLabs最近動作不斷,先是宣布收購CryptoPunks和Meebits,緊接著推出代幣ApeCoin并進行空投.

1900/1/1 0:00:00
SIS:關于Sinsemilla哈希函數在OlaVM中的應用-ODAILY

很高興,我們在2022年7月25日發布了OlaVM,一個EVM兼容的ZKVM方案。由于ZKEVM本身一直是個熱門的賽道,所以OlaVM一經發布,就很榮幸的受到了行業內大佬們的一些關注.

1900/1/1 0:00:00
TRX:JustLend DAO借貸市場中存款APY最高可達18.56%-ODAILY

最新數據顯示,截至8月1日,JustLendDAO借貸市場中存款APY最高的是BTT,達到18.56%,其次是WIN和JST,分別達到15.59%、14.32%.

1900/1/1 0:00:00
GAM:GameFi陷入瓶頸后3A游戲會是出路嗎?-ODAILY

DataSource:FootprintAnalytics3AGameDashboard無聊、跑的慢就血本無歸——現在提到GameFi項目就會讓用戶聯想到的兩個感受.

1900/1/1 0:00:00
ads