2022年5月16日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,Ethereum和BNBChain上FEGtoken項目的FEGexPRO合約遭受黑客攻擊,黑客獲利約3280?BNB?以及144ETH,價值約130萬美元。成都鏈安技術團隊對事件進行了分析,結果如下。
事件相關信息
本次攻擊事件包含多筆交易,部分交易信息如下所示:
攻擊交易?(部分)
0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063?(BNBChain)
安大略教師退休基金:曾向FTX和FTX US共投資9500萬美元,占總凈資產的不到0.05%:11月11日消息,加拿大安大略省教師退休基金(Ontario Teachers' Pension Plan)發布針對FTX的聲明表示,在2021年10月向FTX及FTX US共投資了7500萬美元,并于2022年1月對FTX US追加了2000萬美元的后續投資。盡管FTX的未來仍存在不確定性,但該投資的任何財務損失對基金影響有限,因為該投資占該退休基金總凈資產的不到0.05%。[2022/11/11 12:49:59]
0x1e769a59a5a9dabec0cb7f21a3e346f55ae1972bb18ae5eeacdaa0bc3424abd2?(Ethereum)
攻擊者地址
0x73b359d5da488eb2e97990619976f2f004e9ff7c
未知巨鯨從FTX轉出2.48億穩定幣和23,843 ETH:11月8日消息,據PeckShieldAlert推特發布,未知巨鯨從FTX轉出2.48億穩定幣和23,843 ETH(約3600萬美元),總價值約2.84億美元。[2022/11/8 12:31:17]
攻擊合約
0x9a843bb125a3c03f496cb44653741f2cef82f445
被攻擊合約
0x818e2013dd7d9bf4547aaabf6b617c1262578bc7?(BNBChain)
0xf2bda964ec2d2fcb1610c886ed4831bf58f64948(Ethereum)
攻擊流程
Ethereum和BNBChain上使用攻擊手法相同,以下分析基于BNBChain上攻擊:
Block.one子公司Bullish.com裁員近30人:金色財經報道,加密貨幣交易所Bullish.com裁員應對市場低迷,此次裁員近30人。據LinkedIn資料,該公司共有員工約270人。該公司發言人周二證實了裁員的消息,同時補充說:\"Bullish將繼續積極招聘產品、工程和其他戰略角色。\"
據悉,Bullish.com于去年成立,是Block.one的子公司,Block.one是EOSIO區塊鏈背后的軟件公司。Block.one和Thiel Capital、Galaxy Digital、Nomura、英國對沖基金億萬富翁Alan Howard向Bullish.com提供了100億美元的初始資金。(The Block)[2022/7/6 1:53:21]
1.攻擊者調用攻擊合約利用閃電貸從DVM合約(0xd534...0dd7)中借貸915.84WBNB,然后將116.81WBNB兌換成115.65fBNB為后續攻擊做準備。
Coinbase將于年內停用Coinbase Pro并推出Advanced Trade:金色財經消息,Coinbase宣布將于年內停用Coinbase Pro并推出Advanced Trade,使得用戶可以在一個平臺內使用借貸、DApp等功能。Coinbase表示,Advanced Trade將向全球用戶開放,其基于交易量的費用與Coinbase Pro相同。目前Advanced Trade已在PC端上線,Coinbase表示將在接下來的幾周內在移動端應用中推出Advanced Trade。此前Coinbase Pro為獨立的應用,而Advanced Trade旨在使用戶可以在單一應用中使用Coinbase Pro的功能。[2022/6/23 1:26:07]
Terra生態系統復興計劃 2 快照區塊將在7790000高度發生:金色財經報道,terra社區發文稱,按區塊時間計算,Terra 生態系統復興計劃 2快照區塊 7,790,000 最早可能會在 2022 年 5 月 26 日星期四 16:20:00 UTC 發生。創世時的供應量遠低于任何人的預期,接近1.167 億,一年后升至 1.82 億。
計算供應量時需要考慮的關鍵是:攻擊前 Luna 持有者分配適用于快照余額為 10k Luna 或更少的所有持有者,30% 在創世時解鎖;70% 2 年后解鎖,。這是為了確保小型 Luna 持有者具有相似的初始流動性概況。這將覆蓋 99.81% 的 Luna 錢包,而在攻擊前快照中僅占 Luna 總錢包的 6.45%[2022/5/25 3:39:22]
2.攻擊者利用攻擊合約創建了10個合約,為后續攻擊做準備。
3.攻擊者接下來將兌換得到的fBNB代幣抵押到FEGexPRO合約中。
4.?然后攻擊者重復調用depositInternal和swapToSwap函數,讓FEGexPRO合約授權fBNB給之前創建好的其他攻擊合約。
5.?然后利用其他攻擊合約調用transferFrom函數將FEGexPRO合約中fBNB全部轉移到攻擊合約中。
6.接下來又在LP交易對合約(0x2aa7...6c14)中借貸31,217,683,882,286.007211154FEG代幣和423WBNB。
7.然后重復3、4、5步驟的攻擊手法,將FEGexPRO合約中大量FEG代幣盜取到攻擊合約中。
8.然后歸還閃電貸,將獲得的WBNB轉入攻擊合約中完成此筆攻擊。
9.此后,又利用相同的原理,執行了50余筆相同的攻擊,最獲利約144ETH和3280BNB。
漏洞分析
本次攻擊主要利用了FEGexPRO合約中swapToSwap函數中path地址可控且合約中未對path地址進行有效性校驗的漏洞。由于合約中depositInternal函數中更新用戶余額時依賴于合約中當前代幣余額,攻擊者通過傳入一個惡意的path地址,調用swapToSwap函數時合約中代幣余額并未發生變化,導致攻擊者可以反復重置攻擊合約在FEGexPRO合約中記錄的代幣數量,從而讓FEGexPRO合約將自身代幣反復授權給攻擊者所控制的多個惡意合約。
資金追蹤
截止發文時,被盜資金仍在攻擊者地址中并未轉移。
總結
針對本次事件,成都鏈安技術團隊建議:
項目開發時,應該注意與其他合約交互時可能存在的安全風險,盡量避免將關鍵參數設置為用戶可控。如果業務需求如此,則需要嚴格判斷用戶輸入的參數是否存在風險。此外建議項目上線前選擇專業的安全審計公司進行全面的安全審計,規避安全風險。
Tags:BNBPROFEGNBABNBCH價格WenMoon ProtocolDADDYFEG中國用戶注冊coinbase
元宇宙的預言和趨勢分析 元宇宙:已來的未來 元宇宙實際上早已來到了人間,來到了商業領域。 一、五連冠和EDG 前不久,EDG獲得《英雄聯盟》S11總決賽冠軍,這場決賽,據統計有4.5億人次觀看.
1900/1/1 0:00:00金色財經報道,美國商品期貨交易委員會(CFTC)主席RostinBehnam在周一接受CNBC采訪時聲稱比特幣和以太坊是商品.
1900/1/1 0:00:00當前的Web3尚未實現真正公平,羅爾斯的正義理論或能提供改進思路。圍繞Web3最具說服力敘述之一是,它是朝著更好、更公平互聯網發展的運動.
1900/1/1 0:00:00隨著加密貨幣的盛行以及被越來越廣泛地接受,奢侈品行業開始接受加密貨幣支付。 開放加密支付 5月22日,法國奢侈品巨頭LVMH旗下的瑞士奢侈手表品牌泰格豪雅(TagHeuer)宣布旗下美國市場官網.
1900/1/1 0:00:00DeFi數據 1.DeFi代幣總市值:532.01億美元 DeFi總市值數據來源:coingecko2.過去24小時去中心化交易所的交易量:41.
1900/1/1 0:00:005月10日,知名NFT項目Azuki創始人ZAGABOND.ETH發布的一篇博客引發軒然大波。他在名為「建設者之旅」的文章中自曝曾創建CryptoPhunks、Tendies和CryptoZun.
1900/1/1 0:00:00