2022年4月17日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,算法穩定幣項目BeanstalkFarms遭黑客攻擊,黑客獲利近8000萬美元,成都鏈安技術團隊第一時間對事件進行了分析,結果如下。
#1事件相關信息
攻擊交易
0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7
攻擊者地址
0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4
公鏈Solana宣布已購買加州Solana Beach當地高中體育場命名權:公鏈Solana營銷和增長負責人宣布,Solana已購買加州Solana Beach當地高中體育場的不限期命名權。[2021/4/2 19:39:30]
攻擊合約
0x79224bC0bf70EC34F0ef56ed8251619499a59dEf
被攻擊合約
0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5
#2攻擊流程
1.攻擊者從攻擊的前一天發起了提案交易,提案通過會提取Beanstalk:BeanstalkProtocol合約中的資金。
聲音 | Status開發人員: Beacon測試網將很快推出:據trustnodes報道,以太坊2.0至少兩個客戶端的開發人員正在完成PoS Beacon鏈測試網發布的準備工作。負責Nimbus客戶端的Status開發人員Dustin Brody表示,測試網將很快推出。[2019/3/14]
2.黑客通過閃電貸換取了350,000,000個DAI,500,000,000個USDC,150,000,000個USDT,32,100,950個BEAN和11,643,065個LUSD作為資金儲備。
3.黑客將2步驟的DAI,USDC,USDT資金在Curve.fiDAI/USDC/USDT交易池中添加為979,691,328個3Crv流動性代幣,用15,000,000個3Crv換來15,251,318個LUSD。
Beats耳機制造商向美證監會報告將開展3億美元ICO:據路透社消息,日前公布的遞交美國證監會(SEC)文件顯示,Beats耳機的制造商Monster Products已經申報,將啟動一項融資規模高達3億美元的ICO。文件顯示,Monster 計劃分三步,先成立一個基于以太坊區塊鏈的平臺Monster Money Network,提供基本的交易功能,允許投資者用MMNY在此平臺購買,然后成立一個私人的鏈下平臺,在幾乎不產生挖礦成本或者這類成本有限的前提下進行微型交易,最后完成Monster的區塊鏈,將區塊鏈融入公司的運營系統。[2018/6/1]
4.將964,691,328個3Crv代幣兌換為795,425,740個BEAN3CRV-f用于投票,將32,100,950個BEAN和26,894,383LUSD添加流動性得到58,924,887個BEANLUSD-f流動性代幣。
5.使用4步驟中的BEAN3CRV-f和BEANLUSD-f來對提案進行投票,導致提案通過。從而Beanstalk:BeanstalkProtocol合約向攻擊合約轉入了36,084,584個BEAN,0.54個UNI-V2,874,663,982個BEAN3CRV-f以及60,562,844個BEANLUSD-f。
6.最后攻擊者將流動性移除并歸還閃電貸,把多余的代幣兌換為24830個ETH轉入攻擊者賬戶中。
#3漏洞分析
本次攻擊主要利用了投票合約中的票數是根據賬戶中的代幣持有量得到的。
攻擊者至少在一天前發起提取Beanstalk:BeanstalkProtocol資金的提案,然后調用emergencyCommit進行緊急提交來執行提案,這個就是攻擊者1天之前發起攻擊準備的原因所在。
#4資金追蹤
截止發文時,攻擊者獲利22029601個USDC,14742429個DAI,6,603,829個USDT與0.5407個UNI-V2,640224美元的BAEN代幣資金近8000萬,在攻擊時將其中的25萬USDC捐贈了烏克蘭,之后攻擊者將資金轉換為ETH并將資金持續向Tornado.Cash轉移。
針對本次事件,成都鏈安技術團隊建議:
1.投票所用資金應在合約中鎖定一定時間,避免使用賬戶的當前資金余額來統計投票數量,以避免可能出現的反復投票以及使用閃電貸進行投票;
2.項目方和社區應關注所有提案,如果提案是惡意提案,建議在提案投票期間應及時做出處理措施,將提案廢棄,禁止其接受投票以及執行;
3.可考慮禁止合約地址參與投票;此外項目上線前最好進行全面的安全審計,規避安全風險。
撰文:KyleSamani,MulticoinCapital合伙人 編譯:Amber 本文將探討在投資過程中幾乎是最重要的那個環節——「決策」.
1900/1/1 0:00:00在當下的區塊鏈市場中,以NFT、GameFi、SocialFi等概念為代表的Web3.0依然是熱門賽道,無論是專注于區塊鏈領域的投資機構,還是一些傳統的投資機構.
1900/1/1 0:00:00TheBRWLLock-up&Earn#1willlaunchat8:00UTConApr23atGate.io''s“HODL&Earn”.
1900/1/1 0:00:00北京時間2022年4月21日下午3時15分,CertiK審計團隊監測到ZEED項目被攻擊,造成了104萬美金的財產損失.
1900/1/1 0:00:00據Cryptopotato4月22日報道,萬事達卡區塊鏈/數字資產產品和數字合作伙伴執行副總裁RajDhamodharan認為數字貨幣根本不構成威脅.
1900/1/1 0:00:00一、項目介紹 我們正在進入一個新時代,一個不斷變化的時代。從元宇宙到NFT,一切都是新的,并且正在快速向我們襲來。Web2.0開始看起來像是一個遙遠的記憶,我們仍在為心靈和喜好贈送藝術.
1900/1/1 0:00:00