2022年5月16日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,Ethereum和BNB Chain上FEGtoken項目的FEGexPRO合約遭受黑客攻擊,黑客獲利約3280?BNB?以及144 ETH,價值約130萬美元。成都鏈安技術團隊對事件進行了分析,結果如下。
事件相關信息
本次攻擊事件包含多筆交易,部分交易信息如下所示:
攻擊交易?(部分)
0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063?(BNB Chain)
韓國將在元宇宙項目上投入總計5100萬美元:金色財經報道,韓國科技部周三宣布,將向利用元宇宙的本地服務投資277億韓元(2100萬美元)。這筆2100萬美元的投資將支持醫療、教育和旅游等領域的13個新項目,這些項目將利用元宇宙創新服務,改善對公眾的服務。韓國周二宣布了400億韓元(3000萬美元)的基金,將鼓勵元宇宙領域的小型企業積極尋求并購,以擴大業務到全球市場。[2023/3/9 12:51:55]
0x1e769a59a5a9dabec0cb7f21a3e346f55ae1972bb18ae5eeacdaa0bc3424abd2?(Ethereum)
攻擊者地址
0x73b359d5da488eb2e97990619976f2f004e9ff7c
攻擊合約
0x9a843bb125a3c03f496cb44653741f2cef82f445
分析師:利率市場認為美聯儲下個月會議加息50個基點的風險正在上升:金色財經報道,美聯儲青睞的通脹指標1月份增長速度超過預期,消費者支出增幅為2021年以來最大,這兩個因素給政策制定者帶來了繼續加息的壓力。周五公布的數據顯示,個人消費支出價格指數較上月上漲0.6%,為去年6月份以來的最大漲幅。扣除食品和能源,核心物價指數也攀升0.6%。經物價變動調整后的個人支出增長1.1%,較去年年底的疲軟有所反彈。
分析師評美國PCE數據,利率市場認為,美聯儲下個月會議加息50個基點的風險正在上升。與3月22日會議相關的OTS合約暗示加息33個基點,即有28%的幾率加息50個基點。[2023/2/25 12:28:17]
被攻擊合約(部分)
0x818e2013dd7d9bf4547aaabf6b617c1262578bc7?(BNB Chain)
加密錢包公司Dfns:“Magic Links”存在嚴重漏洞:金色財經報道,加密錢包初創公司 Dfns 表示,越來越多的加密錢包和網絡應用程序采用的無密碼登錄方法 Magic Links 存在嚴重漏洞,Dfns 將其發現的漏洞歸類為“零日”漏洞利用。Dfns 在一份聲明中表示,該漏洞可能“對全球經濟的很大一部分構成相當大的風險。 受影響的服務表示,在 Dfns 發布詳細介紹所謂的零日漏洞的博客文章之前,他們幾乎沒有收到任何通知。
Magic Links是由網站或應用程序生成的唯一的一次性 URL,用于驗證用戶身份而無需他們輸入密碼。當用戶單擊 Web 應用程序發送給他們的Magic Links時,它會驗證他們的身份并將他們登錄到他們的帳戶中。[2023/2/24 12:27:50]
0xf2bda964ec2d2fcb1610c886ed4831bf58f64948 (Ethereum)
美國蒙大拿州以37票對13票通過比特幣“挖礦”法案:金色財經報道,加密KOL Bitcoin Archive發推特透露,美國蒙大拿州以37票對13票通過了比特幣“挖礦”法案。[2023/2/24 12:26:19]
Ethereum和BNB Chain上使用攻擊手法相同,以下分析基于BNB Chain上攻擊:
1. 攻擊者調用攻擊合約(0x9a84...f445)利用閃電貸從DVM合約(0xd534...0dd7)中借貸915.84 WBNB,然后將116.81 WBNB兌換成115.65 fBNB為后續攻擊做準備。
2. 攻擊者利用攻擊合約創建了10個合約,為后續攻擊做準備。
區塊鏈游戲化社交媒體應用TOKHIT完成1億美元融資:2月13日消息,由區塊鏈驅動的游戲化社交媒體應用TOKHIT宣布完成1億美元融資,但該公司沒有透露投資方信息,也沒有公開本次融資后的估值金額(TOKHIT在2022年初透露公司估值約為1.55億美元)。TOKHIT平臺可以幫助內容創作者、NFT/加密貨幣愛好者通過社交活動獲利,其聯合創始人Andrei Ureche稱,該平臺未來還將提供NFT和數字資產交易、NFT質押等服務,讓用戶找到更多機會與品牌合作來獲得激勵。(romania-insider)[2023/2/13 12:04:26]
3. 攻擊者接下來將兌換得到的fBNB代幣抵押到FEGexPRO合約(0x818e...8bc7)中。
4. ?然后攻擊者重復調用depositInternal和swapToSwap函數,讓FEGexPRO合約授權fBNB給之前創建好的其他攻擊合約。
5. ?然后利用其他攻擊合約調用transferFrom函數將FEGexPRO合約中fBNB全部轉移到攻擊合約(0x9a84...f445)中。
6. 接下來又在LP交易對合約(0x2aa7...6c14)中借貸31,217,683,882,286.007211154 FEG代幣和423 WBNB。
7. 然后重復3、4、5步驟的攻擊手法,將FEGexPRO合約中大量FEG代幣盜取到攻擊合約中。
8. 然后歸還閃電貸,將獲得的WBNB轉入攻擊合約中完成此筆攻擊。
9. 此后,又利用相同的原理,執行了50余筆相同的攻擊,最獲利約144 ETH和3280 BNB。
本次攻擊主要利用了FEGexPRO合約中swapToSwap函數中path地址可控且合約中未對path地址進行有效性校驗的漏洞。由于合約中depositInternal函數中更新用戶余額時依賴于合約中當前代幣余額,攻擊者通過傳入一個惡意的path地址,調用swapToSwap函數時合約中代幣余額并未發生變化,導致攻擊者可以反復重置攻擊合約在FEGexPRO合約中記錄的代幣數量,從而讓FEGexPRO合約將自身代幣反復授權給攻擊者所控制的多個惡意合約。
截止發文時,被盜資金仍在攻擊者地址(0x73b3...ff7c)中并未轉移。
針對本次事件,成都鏈安技術團隊建議:
項目開發時,應該注意與其他合約交互時可能存在的安全風險,盡量避免將關鍵參數設置為用戶可控。如果業務需求如此,則需要嚴格判斷用戶輸入的參數是否存在風險。此外建議項目上線前選擇專業的安全審計公司進行全面的安全審計,規避安全風險。
作者:Li Jin、 Katie Parrott原文標題:《Web3 Is Our Chance to Make a Better Internet》 摘要 Web3代表了一個重新想象.
1900/1/1 0:00:00引言:據歐科云鏈鏈上大師發布的《2021年度數據報告》,2021年NFT全年交易總額達到171.75億美元,與2020年的1.30億美元相比,環比增長131倍.
1900/1/1 0:00:00智能合約安全審計基本上是識別項目代碼中的漏洞,并使用審查公司認為合適的各種方法或工具來修復它們。其理念是確保不存在任何可能危及平臺用戶資金安全的錯誤.
1900/1/1 0:00:00一、NFT的特征和價值潛力自2020年來,非同質化通證(英文又稱Non Fungible Token,業界簡稱“NFT”)在全球數字作品領域如火如荼.
1900/1/1 0:00:00比推消息,據 coindesk 報道,根據花旗在 5 月 13 日發布的一份報告中表示,在第三大穩定幣 terraUSD (UST)崩盤后,加密貨幣市場在過去一周一直承壓.
1900/1/1 0:00:00年度焦點 | 揭秘12.26三亞年度金色盛典:12月26日,由金色財經主辦;STD盛大公鏈總冠名;量子礦池、雷神公鏈、CYPHERIUM聯合呈現、亦來云、ECO2、起源庫、Waves首席合作企業.
1900/1/1 0:00:00