以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

BNB:CertiK首發:加密版無損「倒信用卡」獲利百萬美元 FEG閃電貸攻擊事件分析

Author:

Time:1900/1/1 0:00:00

北京時間2022年5月16日凌晨4:22:49,CertiK安全技術團隊監測到FEG在以太坊和BNB鏈上遭受大規模閃電貸攻擊,導致了價值約130萬美元的資產損失。

此攻擊是由“swapToSwap()”函數中的一個漏洞造成的,該函數在未對傳入參數進行篩查驗證的情況下,直接將用戶輸入的"path"作為受信任方,允許未經驗證的"path"參數來使用當前合約的資產。

因此,通過反復調用"depositInternal()"和"swapToSwap()",攻擊者可獲得無限制使用當前合約資產的許可,從而盜取合約內的所有資產。

受影響的合約地址之一:https://bscscan.com/address/0x818e2013dd7d9bf4547aaabf6b617c1262578bc7

CertiK:此前Ankr攻擊者又向Tornado Cash存入700ETH:金色財經報道,據CertiK數據監測,此前的Ankr攻擊者又向Tornado Cash存入700ETH。[2022/12/24 22:05:25]

漏洞交易

漏洞地址:https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c?

漏洞交易樣本:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063

被盜資金追蹤:https://debank.com/profile/0x73b359d5da488eb2e97990619976f2f004e9ff7c/history

Certihash 與 IBM 合作開發企業區塊鏈安全工具套件:金色財經消息,Certihash宣布了一個基于美國國家標準與技術研究院 (NIST) 網絡安全框架開發“Sentinel Node”的項目,這是一套由五個區塊鏈授權的企業實用程序應用程序中的第一個。Certihash 選擇 IBM Consulting 來協助軟件設計和開發。作為該項目的一部分,IBM Consulting 將使用經過驗證的網絡設計框架,并利用他們在向企業提供去中心化應用程序方面的豐富經驗,致力于最先進的去中心化網絡安全基礎設施。該應用程序的 MVP 版本計劃于 2022 年初秋推出。(finextra)[2022/4/28 2:37:35]

相關地址

攻擊者地址:https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c

Balancer Labs:沒有電報群:DeFi項目方Balancer Labs發推表示,Balancer沒有電報群。看到的電報群要么是非官方的,要么是騙子。[2020/10/1]

攻擊者合約:https://bscscan.com/address/0x9a843bb125a3c03f496cb44653741f2cef82f445

FEG代幣地址:https://bscscan.com/token/0xacfc95585d80ab62f67a14c566c1b7a49fe91167

FEGWrappedBNB(fBNB):https://bscscan.com/address/0x87b1acce6a1958e522233a737313c086551a5c76#code

Balancer將YFII添加進白名單:Balancer新增一批代幣名單,YFII在列。

據悉,為Balancer白名單上的代幣交易對提供流動性,挖礦同時可獲得BAL獎勵,實現YFII與BAL雙挖。即便YFII減半至挖礦幾近結束后,在該池提供流動性仍可獲得BAL獎勵。[2020/8/25]

攻擊步驟

以下攻擊流程基于該漏洞交易:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063

①攻擊者借貸915WBNB,并將其中116BNB存入fBNB。

②攻擊者創建了10個地址,以便在后續攻擊中使用。

③攻擊者通過調用"depositInternal()"將fBNB存入合約FEGexPRO。

根據當前地址的余額,"_balances2"被增加。

④攻擊者調用了"swapToSwap()",路徑參數是之前創建的合約地址。

該函數允許"path"獲取FEGexPRO合約的114fBNB。

⑤攻擊者反復調用"depositInternal()"和"swapToSwap()",允許多個地址獲取fBNB代幣,原因如下:

每次"depositInternal()"被調用,_balance2將增加約114fBNB。

每次"swapToSwap()"被調用,攻擊者所創建合約能獲取該114fBNB的使用權限。

⑥?由于攻擊者控制了10個地址,每個地址均可從當前地址花費114個fBNB,因此攻擊者能夠盜取被攻擊合約內的所有fBNB。

⑦攻擊者重復步驟④⑤⑥,在合約內耗盡FEG代幣。

⑧最后攻擊者出售了所有耗盡的資產,并償還閃電貸款,最終獲取了其余利潤。

資產去向

截至2022年5月16日6:43,被盜資金仍存儲在以太坊和BSC鏈上的攻擊者錢包中。

原始資金來自以太坊和BSC的Tornadocash:https://etherscan.io/tx/0x0ff1b86c9e8618a088f8818db7d09830eaec42b82974986c855b207d1771fdbe

https://bscscan.com/tx/0x5bbf7793f30d568c40aa86802d63154f837e781d0b0965386ed9ac69a16eb6ab

攻擊者攻擊了13個FEGexPRO合約,以下為概覽:

Tags:BNBCERBALBSCEVERBNBCEREhotcoin globalBSC MemePad

加密貨幣
ANC:盤點:加密史上13次最大的DeFi黑客和搶劫

去中心化金融(DeFi)是指區塊鏈應用程序,可將中間商從貸款、儲蓄和掉期等金融產品和服務中剔除。雖然DeFi帶來了高回報,但它也帶來了很多風險.

1900/1/1 0:00:00
NFT:Web3 成功的關鍵:抽離復雜性

早在90年代,加密專家NickSzabo就創造了術語“智能合約”。在一篇1997年發表的論文中,他寫道,智能合約“將協議與用戶界面結合,使計算機網絡中的關系更正式與安全.

1900/1/1 0:00:00
USDT:UST脫錨 Terra失控?穩定幣進化史先了解一下

根據CoinMarketCap的數據,TerraUSD作為第四大穩定幣,也是市值第10大的加密貨幣,在上周末經歷了一場巨大的拋售,其價格周一跌至69美分.

1900/1/1 0:00:00
以太坊:金色觀察|眾說紛云“以太坊合并”

5月20日,以太坊創始人VitalikButerin在ETHShanghai會議上表示,目前以太坊2.0正在進行最后的網絡測試,如果一切問題都被解決,合并最早可能在8月進行,如果出現其他狀況.

1900/1/1 0:00:00
以太坊:「巨頭」谷歌怎么進入「Web3」?

谷歌的行動,再一次提醒人們去思考,Web3的本質是什么。谷歌的新計劃挑動著Web3玩家們的神經。在造價30億美金的總部大樓里,谷歌正式成立了其第一個Web3部門.

1900/1/1 0:00:00
比特幣:卸任 Twitter CEO 后 Jack Dorsey 建立了「比特幣產品帝國」

加密資產市場在過去一年的快速增長離不開傳統支付巨頭們的助攻。擁有3.77億用戶的Paypal已經為美國和英國的用戶開放了交易和持有比特幣、以太坊、比特現金和萊特幣功能,同時支持用戶使用這些加密資.

1900/1/1 0:00:00
ads