一、前言
北京時間2022年3月21日,知道創宇區塊鏈安全實驗室?監測到BSC鏈和以太坊上的UmbNetwork獎勵池遭到黑客攻擊,損失約70萬美元。實驗室第一時間對本次事件進行跟蹤并分析。
二、基礎信息
攻擊者地址:0x1751e3e1aaf1a3e7b973c889b7531f43fc59f7d0
動態 | 韓國交易所Bithumb任命經營企劃室長為新任代表理事:據韓聯社消息,今日,韓國虛擬貨幣交易所Bithumb任命經營企劃室長“崔在原”為新任代表理事。“崔在原”曾在巴克萊銀行等國內外主要銀行和證券會計師事務所從事金融,投資和事務,已有20多年相關經驗。[2019/1/9]
攻擊合約:0x89767960b76b009416bc7ff4a4b79051eed0a9ee
公告 | Bithumb暫停TRX提現:據Bithumb公告,由于TRX的網絡升級,Bithumb暫停了TRX的提現業務。[2018/10/12]
StakingRewards合約:0xB3FB1D01B07A706736Ca175f827e4F56021b85dE
以太坊交易哈希:0x33479bcfbc792aa0f8103ab0d7a3784788b5b0e1467c81ffbed1b7682660b4fa
Ulord 基金會與韓國 Bithumb 交易所達成戰略合作關系:4月1日, Ulord 基金會與韓國 Bithumb 交易所達成戰略合作關系,在長沙簽署了合作協議,下一步雙方將在多個方向開展深度合作。 Bithumb 交易平臺位于韓國,占有韓國比特幣市場份額75.7%,是世界五大比特幣交易所之一,比特幣日交易量超過13,000,約占全球比特幣交易量的10%。同時,Bithumb 交易所也是世界上最大的以太坊交易市場。本次 Ulord 基金會與Bithumb 簽署合作協議,對于推動 Ulord 生態發展具有重要意義。[2018/4/2]
BSC交易哈希:0x784b68dc7d06ee181f3127d5eb5331850b5e690cc63dd099cd7b8dc863204bf6
三、漏洞分析
此次事件,漏洞關鍵在于UmbNetwork獎勵池的StakingRewards合約中的?_balance?函數出現溢出漏洞,合約未校驗檢查?balance?的值,攻擊者通過?amount?發起下溢攻擊,抽空了池子中的代幣。
從合約代碼我們可以看出,合約未正確使用SafeMath安全庫且未作溢出檢查,導致此次攻擊發生。
四、攻擊流程
攻擊者從BSC鏈發起攻擊獲取156枚pancake-LP代幣:
攻擊者在以太坊上發起攻擊獲取8792枚UNI-V2代幣:
隨后攻擊者分別將代幣轉分別換成ETH、UMB和BNB,獲利約70萬美元。
五、分析
本次攻擊事件核心是由于合約未正確使用SafeMath庫并且未對合約進行溢出檢查導致合約出現溢出漏洞,而導致了此次事件的發生,建議項目方多加注意檢查合約是否正確使用各類安全庫。
近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
Tags:UMBITHHUMBithumbBumblebotupbithoa金融資產交易所Human Worldbithumb交易所中文名
內容摘要 1.3月15日,ConsenSys首席執行官JosephLubin在接受訪談時表示,MetaMask將會很快建立DAO,並同時推出Token.
1900/1/1 0:00:00尊敬的唯客用戶您好! 唯客歡鼓舞千金好禮獎不停 活動四:天天空投 活動方式: 活動期間每天抽出10位有完成合約交易的用戶隨機送8、18、38、68、88USDT,周一至周五不限幣種.
1900/1/1 0:00:00尊敬的用戶:?????????BKEX即將上線FBX,詳情如下:上線交易對:FBX/USDT??幣種類型:BEP20充值功能開放時間:已開放交易功能開放時間:2022年3月20日18:00提現功.
1900/1/1 0:00:00NFT?數據日報是由Odaily星球日報與?NFT?數據整合平臺NFTGO.io合作的一檔欄目,旨在向NFT愛好者與投資者展示近24小時的NFT市場整體規模、交易活躍度、子領域市占比.
1900/1/1 0:00:00Gate.ioCopyTradingisnowhometo16quantitativeproducts.
1900/1/1 0:00:00親愛的BitMart用戶,SpaceY2025(SPAY)已于2022年3月22日23:00(香港時間)上線BitMart!為慶祝SPAY上線,我們向廣大交易用戶開放交易送空投活動—豪送1.
1900/1/1 0:00:00