ETH:UmbNetwork獎勵池攻擊事件分析-ODAILY

一、前言

北京時間2022年3月21日，知道創宇區塊鏈安全實驗室監測到BSC鏈和以太坊上的UmbNetwork獎勵池遭到黑客攻擊，損失約70萬美元。實驗室第一時間對本次事件進行跟蹤并分析。

二、基礎信息

攻擊者地址：0x1751e3e1aaf1a3e7b973c889b7531f43fc59f7d0

SEC執法行動后，Cumberland累計從幣安和Coinbase提取超3.7萬枚ETH:6月8日消息，據Lookonchain監測，Cumberland再次從幣安提取了8250枚ETH(1500萬美元)，從Coinbase提取了4500枚ETH(800萬美元)。在美國SEC起訴幣安和Coinbase后，Cumberland已共計從兩家交易所提取37600枚ETH(6900萬美元)。 據此前消息，Cumberland昨日從Coinbase提取了2萬枚ETH（約合3700萬美元），從幣安提取了4,850枚ETH （約合900萬美元）。在此期間，他還提取了AXS、SHIB、COMP、LINK、CRV、AAVE和RNDR。[2023/6/8 21:23:15]

攻擊合約：0x89767960b76b009416bc7ff4a4b79051eed0a9ee

去中心化Layer 2 Oracle解決方案Umbrella Network部署至Avalanche:12月4日消息，Umbrella Network是一個去中心化的第2層預言機解決方案，今日宣布在Avalanche上推出，為生態系統提供對大規模和低成本預言機的訪問。推出時，Umbrella Network將在Avalanche上擁有超過1,800個數據對，并計劃在今年年底前將產品增加到10,000個數據對。集成Umbrella Network后，Avalanche將能夠將生態系統當前的數據產品擴展十倍，從而改善用戶體驗并推動社區發展。（crowdfundinsider）[2021/12/4 12:51:22]

StakingRewards合約:0xB3FB1D01B07A706736Ca175f827e4F56021b85dE

聲音 | 媒體：Bithumb人為地支撐BTC價格:據coincryptorama消息，根據CryptoCompare最近的報告，韓國加密貨幣交易所Bithumb通過增加BTC的交易量，人為地支撐了BTC的價格，韓國交易所的交易量不是有機的。[2018/12/10]

以太坊交易哈希：0x33479bcfbc792aa0f8103ab0d7a3784788b5b0e1467c81ffbed1b7682660b4fa

BSC交易哈希：0x784b68dc7d06ee181f3127d5eb5331850b5e690cc63dd099cd7b8dc863204bf6

三、漏洞分析

此次事件，漏洞關鍵在于UmbNetwork獎勵池的StakingRewards合約中的_balance函數出現溢出漏洞，合約未校驗檢查balance的值，攻擊者通過amount發起下溢攻擊，抽空了池子中的代幣。

從合約代碼我們可以看出，合約未正確使用SafeMath安全庫且未作溢出檢查，導致此次攻擊發生。

四、攻擊流程

攻擊者從BSC鏈發起攻擊獲取156枚pancake-LP代幣:

攻擊者在以太坊上發起攻擊獲取8792枚UNI-V2代幣:

隨后攻擊者分別將代幣轉分別換成ETH、UMB和BNB，獲利約70萬美元。

五、分析

本次攻擊事件核心是由于合約未正確使用SafeMath庫并且未對合約進行溢出檢查導致合約出現溢出漏洞，而導致了此次事件的發生，建議項目方多加注意檢查合約是否正確使用各類安全庫。

近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：UMBANCETHNETBUMBLECSoju Financeethereal寓意之類的詞primordialplanetcoin

以太坊價格今日行情