2023年8月18日,據Beosin-Eagle Eye態勢感知平臺消息,Optimism鏈的DeFi借貸協議Exactly Protocol遭受黑客攻擊,黑客獲利超700萬美元。
攻擊發生之后,Exactly Protocol在社交媒體上表示,正在嘗試與攻擊者溝通,以歸還被盜資產,已向提交報告。
三天之后的8月21日,Exactly Protocol發文表示協議現已解除,用戶可以執行所有操作,也沒有發生任何清算。為了明確起見,黑客攻擊只影響到使用外圍合約(DebtManager)的用戶。沒有使用該合約的用戶沒有任何損失,協議仍在正常運行。
Beosin安全團隊第一時間對本次事件進行了分析,結果如下。
事件相關信息
●攻擊交易
Scopescan:Earning.Farm協議被盜,黑客獲利283枚WETH:8月9日消息,據Scopescan監測,Earning.Farm協議被盜金額為283 ETH。黑客從Tornado cash收到10枚ETH,創建了攻擊合約,并獲利283枚WETH(價值約合52.7萬美元)。
此前消息,Earning.Farm遭重入攻擊,損失154枚WETH。[2023/8/9 21:34:25]
0x3d6367de5c191204b44b8a5cf975f257472087a9aadc59b5d744ffdef33a520e
0x1526acfb7062090bd5fed1b3821d1691c87f6c4fb294f56b5b921f0edf0cfad6
0xe8999fb57684856d637504f1f0082b69a3f7b34dd4e7597bea376c9466813585
Yearn Finance項目疑似遭受攻擊,黑客獲利超1000萬美元:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Yearn Finance項目疑似遭受到閃電貸攻擊,黑客獲利超1000萬美元,目前資金全部存在黑客地址。 Beosin Trace將持續對資金流向進行監控。[2023/4/13 14:01:37]
●攻擊者地址
0x3747dbbcb5c07786a4c59883e473a2e38f571af9
●攻擊合約
0x6dd61c69415c8ecab3fefd80d079435ead1a5b4d
0x995a24c99ea2fd6c87421d516216d9bdc7fa72b4
NFT 借貸協議 XCarnival 遭到攻擊,黑客獲利約 380 萬美元:6月26日消息,PeckShield 發推稱,NFT 借貸協議 XCarnival 遭到攻擊,黑客獲利 3087 枚以太坊(約 380 萬美元),而協議損失可能更高。黑客地址為 0xb7CBB4d43F1e08327A90B32A8417688C9D0B800a,PeckShield 表示本次攻擊或由于已解除抵押的 NFT 仍被作為抵押品所致。[2022/6/27 1:33:01]
●被攻擊合約
0x16748cb753a68329ca2117a7647aa590317ebf41
漏洞分析
漏洞合約中的多個Market地址參數可被操控。攻擊者通過傳入惡意的Market合約地址,成功繞過permit檢查,執行了惡意的deposit函數,竊取了用戶的抵押品USDC并清算用戶資產,最終實現了攻擊者的盈利目的。
派盾:Deus Finance再次遭到攻擊,黑客獲利約1340萬美元:金色財經消息,派盾(PeckShield)在Twitter上表示,多鏈衍生品協議Deus Finance目前被監控到在Fantom網絡上遭黑客攻擊,黑客獲利約1340萬美元。
此前3月15日報道,派盾在社交媒體上提醒,Deus Finance目前被監控到在Fantom網絡上遭黑客攻擊,黑客共計盜走20萬枚DAI和1101.8枚ETH。[2022/4/28 2:36:36]
攻擊流程
我們以0x3d6367…這筆交易為例
攻擊準備階段:
1.攻擊者創建了多個惡意Market合約
BSC生態項目PancakeHunny 遭遇黑客攻擊 黑客獲利 43 ETH:據PeckShield派盾追蹤分析,PancakeBunny的仿盤PancakeHunny遭到黑客攻擊,黑客獲利43ETH(合計10余萬美元)。[2021/6/3 23:07:40]
攻擊階段
1.攻擊者調用漏洞合約的leverage函數(杠杠函數)傳入偽造的market合約地址,由于market地址未校驗合法性,permit檢查被繞過并將_msgSender更改為受害者地址,這里為步驟3竊取受害者資產做了準備。
2.leverage函數會繼續調用惡意market合約中的deposit函數,進而執行攻擊者的惡意代碼
3.deposit函數中的惡意代碼會先創建一個V3 惡意token/USDC的池子,然后再重入進漏洞合約的crossDeleverage函數。由于marketIn和marketOut同樣可控,導致crossDeleverage函數計算的V3池子最終為攻擊者創建的V3池子。
4.此時由于_msgSender已經修改為了受害者,crossDeleverage函數進一步調用攻擊者創建的V3池子的swap函數用作閃電貸,并在回調函數uniswapV3callback中將受害者的資金轉入至V3池子中。
5.攻擊者移除流動性將受害者資金從V3池子中竊取出來。
6.由于受害者抵押資金被轉走,滿足清算條件,攻擊者進一步清算了受害者的頭寸而獲得了更多的收益。
資金追蹤
截止發文時,被盜資金已通過Optimism bridge和Across Protoco跨鏈至以太坊。
總結
針對本次事件,Beosin安全團隊建議:
建議用作憑證代幣的合約地址需要填加白名單功能,以免被惡意操控。目前,Beosin已對Optimism鏈上多個項目諸如DIPX等進行過安全審計,因此Beosin建議項目上線前,選擇專業的安全審計公司進行全面的安全審計,規避安全風險。
Beosin
企業專欄
閱讀更多
金色財經
金色財經 善歐巴
web3中文
金色早8點
YBB Capital
吳說Real
元宇宙簡史
來源:財聯社|區塊鏈日報 記者董宇佳 2022年國內的數字藏品市場延續了去年的熱度,隨著投資者不斷涌入這個“新興市場”,近期多個數字藏品平臺獲得大額融資.
1900/1/1 0:00:00DeFi之道訊,全球Web3生態創新云端峰會將于今日正式召開。首場論壇直播《老友記?新視野》將于今晚8點開始.
1900/1/1 0:00:00過去幾年,游戲開發者們一直希望借Web3這個價值流通網絡,改造傳統游戲的經濟系統,將虛擬資產的掌管權交給用戶,讓資產自由地在市場流通.
1900/1/1 0:00:00來源:金融電子化 區塊鏈技術發軔于10年前的數字貨幣浪潮,是新型的價值登記和交換技術,被譽為“信任機器”.
1900/1/1 0:00:00據《中國區塊鏈產業全景報告》數據顯示,2021年區塊鏈產業扶持政策遍地開花,單年中央、各部委及各省市地方政府發布區塊鏈相關政策達1101部,中國在區塊鏈技術專利申請上位于世界前列.
1900/1/1 0:00:00來源:財聯社|區塊鏈日報記者徐賜豪4月18日晚間,天下秀數字科技集團發布2021年財報。報告期內,天下秀實現營業收入45.1億元,同比增長47.4%,近五年收入的年復合增長率達到57.7%;扣非.
1900/1/1 0:00:00