2022年4月17日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,算法穩定幣項目Beanstalk Farms遭黑客攻擊,黑客獲利近8000萬美元,成都鏈安技術團隊第一時間對事件進行了分析,結果如下。
1 事件相關信息
攻擊交易
0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7
攻擊者地址
0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4
攻擊合約
0x79224bC0bf70EC34F0ef56ed8251619499a59dEf
Beosin:Arcadia Finance項目遭受攻擊,黑客獲利約45萬美元:金色財經報道,7月10日,Beosin EagleEye監測顯示,鏈上保證金協議Arcadia Finance項目遭受黑客攻擊,黑客獲利約45萬美元。[2023/7/10 10:45:30]
被攻擊合約
0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5
2 攻擊流程
1. 攻擊者從攻擊的前一天發起了提案交易,提案通過會提取Beanstalk: Beanstalk Protocol合約中的資金。
安全公司:MultiChainCapital遭受閃電貸攻擊,黑客獲利約10ETH:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,MultiChainCapital項目遭受閃電貸攻擊(攻擊交易:0xf72f1d10fc6923f87279ce6c0aef46e372c6652a696f280b0465a301a92f2e26),黑客利用通縮代幣未將pair排除例外地址,使用deliver函數造成代幣增發,最后通過swap函數將增發的代幣兌換獲利10ETH,目前資金存在黑客地址未轉出。Beosin Trace將持續對資金流向進行監控。[2023/5/9 14:52:28]
2. 黑客通過閃電貸換取了350,000,000個DAI,500,000,000個USDC,150,000,000個USDT,32,100,950個BEAN和11,643,065個LUSD作為資金儲備。
Rari Capital在Fuse上的資金池遭到攻擊,黑客獲利近8000萬美元:4月30日消息,Rari Capital在Fuse上的資金池遭到攻擊,黑客獲利近8000萬美元。算法穩定幣協議Fei Protocol表示如果黑客愿意歸還被盜資金,愿意提供1000萬美元賞金。[2022/4/30 2:42:33]
3. 黑客將2步驟的DAI,USDC,USDT資金在Curve.fi DAI/USDC/USDT交易池中添加為979,691,328個3Crv流動性代幣,用15,000,000個3Crv換來15,251,318個LUSD。
Visor Finance攻擊事件報告:黑客獲取了管理帳戶訪問權限:基于Uniswap V3的DeFi流動性協議Visor Finance就此前發生的攻擊事件發布報告稱,攻擊者獲得了一個管理帳戶的訪問權限,能夠從尚未存入流動性提供者頭寸的存款中提取資金。報告稱,被盜金額約占其300萬美元TVL的16.7%(約合50萬美元),并證實該黑客并非團隊成員,因此對其緊急提款保障措施缺乏充分了解,被盜資金僅限于未配置的資產。(BeInCrypto)[2021/6/21 23:53:12]
4. 將964,691,328個3Crv代幣兌換為795,425,740個BEAN3CRV-f用于投票,將32,100,950個BEAN和26,894,383LUSD添加流動性得到58,924,887個BEANLUSD-f流動性代幣。
5. 使用4步驟中的BEAN3CRV-f和BEANLUSD-f來對提案進行投票,導致提案通過。從而Beanstalk: Beanstalk Protocol合約向攻擊合約轉入了36,084,584個BEAN,0.54個UNI-V2,874,663,982個BEAN3CRV-f以及60,562,844個BEANLUSD-f。
6. 最后攻擊者將流動性移除并歸還閃電貸,把多余的代幣兌換為24830個ETH轉入攻擊者賬戶中。
3 漏洞分析
本次攻擊主要利用了投票合約中的票數是根據賬戶中的代幣持有量得到的。
攻擊者至少在一天前發起提取Beanstalk: Beanstalk Protocol資金的提案,然后調用emergencyCommit進行緊急提交來執行提案,這個就是攻擊者1天之前發起攻擊準備的原因所在。
4 資金追蹤
截止發文時,攻擊者獲利22029601 個USDC ,14742429個 DAI,6,603,829個USDT與0.5407個UNI-V2,640224美元的BAEN代幣資金近8000萬,在攻擊時將其中的25萬USDC捐贈了烏克蘭,之后攻擊者將資金轉換為ETH并將資金持續向Tornado.Cash轉移。
針對本次事件,成都鏈安技術團隊建議:
1. 投票所用資金應在合約中鎖定一定時間,避免使用賬戶的當前資金余額來統計投票數量,以避免可能出現的反復投票以及使用閃電貸進行投票;
2. 項目方和社區應關注所有提案,如果提案是惡意提案,建議在提案投票期間應及時做出處理措施,將提案廢棄,禁止其接受投票以及執行;
3. 可考慮禁止合約地址參與投票;此外項目上線前最好進行全面的安全審計,規避安全風險。
在文章開始前,先講一個故事:2015 年 4 月,頂級投行高盛以近 5000 萬美元的資本領投了一家科技初創公司,僅 3 年后,它的市值便翻了 60 倍,達到 30 億.
1900/1/1 0:00:00Ronin Network(以下簡稱「Ronin」)的黑客事件已經過去近兩周,次生災害仍然沒有結束,該區塊鏈上構建的寵物戰斗游戲Axie Infinity遭遇了各項數據的全面滑坡.
1900/1/1 0:00:00前言 進入2022年,關于元宇宙的討論從質疑轉變為認可,無論是技術、市場,還是政策,都逐漸形成合力,積極推動元宇宙走向成熟.
1900/1/1 0:00:00在4月1號張國榮忌日這一天,騰訊音樂娛樂集團攜手環球音樂旗下廠牌寶麗金共同呈現了“張國榮2000年《熱·情》演唱會超清修復版”.
1900/1/1 0:00:00在如今這種信息高速發展的時代中,注意力的價值將會超過信息。所謂注意力經濟(Attention Economy),是將人類的注意力作為一種稀缺的資源并且運用經濟學理論來進行運營.
1900/1/1 0:00:00近日,中國人民銀行公布第三批數字人民幣試點地區,增加天津、重慶、廣州、福州、廈門和浙江省承辦亞運會的6個城市作為試點城市.
1900/1/1 0:00:00