2022年4月17日,算法穩定幣項目BeanstalkDAO遭受黑客攻擊,損失已達1.82億美元,包括7900多萬BEAN3CRV-f、163萬BEANLUSD-f、3600萬BEAN和0.54個UNI-V2_WETH_BEAN。啟動入侵的初始資金已被撤回至SynapseProtocol,且大部分收益都被存入Tornado.cash。目前,該項目穩定幣BEAN價格已經從約1美元跌至0.136美元,跌幅達86%。
BeanStalk是一個分散的基于信用的穩定幣協議。該協議由三個相互連接的組件組成:去中心化價格預言機、去中心化治理系統和去中心化信貸工具。根據該項目的白皮書介紹,BeanStalk使用動態掛鉤維護機制,定期將1Bean的價格超過其價值掛鉤,而無需集中化或抵押要求。
Neo Hunters的Discord遭遇黑客攻擊,官方提醒用戶不要點擊鏈接:6月21日消息,NFT項目Neo Hunters官方推特發文稱,其官方Discord遭遇黑客攻擊,提醒用戶不要點擊任何鏈接。[2022/6/21 4:42:19]
此次攻擊事件距離AxieInfinity遭到黑客攻擊損失6.25億美元還不到一個月時間,Beanstalk受到了巨大的損失。這次的黑客攻擊或源于前一天通過的BIP18,BIP18導致使用治理特權來抽干資金池的精心設計的代碼來執行,黑客利用了Beanstalk的“投票合約中的票數是根據賬戶中的代幣持有量來得到的”這一閃電貸漏洞完成了這次的攻擊,并將獲利的部分USDC轉入了烏克蘭加密捐贈地址。
觀點:推特采取的措施不足以防止再次發生黑客攻擊事件:針對推特發生的大規模攻擊事件,惡意軟件實驗室Emsisoft的威脅分析師Brett Callow表示,Twitter隨后采取的安全措施可能還不足以防止將來再次發生此類事件。
他說:“毫無疑問,盡管Twitter將致力于改善其安全性,但事實是,還沒有一種完全確定的方法來防止帳戶被接管,并且類似的事件幾乎肯定會再次發生。”(Cointelegraph)[2020/7/21]
下面ArmorsCompanyLimited來具體分析一下黑客的攻擊過程。
動態 | VeChain基金會回購錢包遭遇黑客攻擊,損失11億枚VET:金色財經報道,VeChain基金會的錢包遭遇黑客攻擊,目標是專門用于該基金會回購計劃的資金。根據VeChain基金會12月13日發布的消息,一名不知名的黑客將11億枚VET代幣,從VeChain基金會的回購錢包轉到了一個個人錢包地址。[2019/12/14]
黑客從攻擊的前一天發起了交易提案,提案通過以后將會從Beanstalk:BeanstalkProtocol合約中提取資金。首先黑客通過閃電貸換取了3.5億個DAI、5億個USDC、1.5億個USDT、3200萬個BEAN和1100萬個LUSD作為資金儲備。再將這些資金在Curve.fi對應交易對的交易池中添加為3Crv流動性代幣,總量達到9.8億個。接著用1500萬個3Crv兌換成LUSD。又將3Crv代幣兌換為BEAN3CRV-f用于投票,把3200萬個BEAN和近2700萬個LUSD添加流動性,這樣就成功得到5900萬個BEANLUSD-f流動性代幣。
動態 | Syscoin遭遇黑客攻擊:Syscoin在推特上證實,正在調查出現問題的原因,并表示已經要求所有加密貨幣交易所暫時停止交易。該公司還沒有能夠確定漏洞的原因。[2018/7/4]
接著,黑客用BEAN3CRV-f和BEANLUSD-f來對提案發起投票,然后調用emergencyCommit進行緊急提交來執行提案,從而導致提案通過。經過以上一系列的操作,3600萬個BEAN、8.75億個BEAN3CRV-f、6000萬個BEANLUSD-f以及0.54個UNI-V2,通過Beanstalk:BeanstalkProtocol合約轉入了攻擊合約。最后黑客將流動性移除并歸還閃電貸,把多余的代幣兌換為近2.5萬個ETH持續轉移至Tornado.Cash。
交易詳細信息如圖所示:
ETH被分批發送到Tornado.Cash:
Armors安全在此提醒:
首先,還是要對項目代碼的安全審計提高重視,建議找行業內正規的安全公司進行全方位的代碼審計,并定期檢查更新,可使用實時的安全監測服務,避免出現安全風險。其次,項目方應避免使用賬戶的當前資金余額來統計投票數量,投票所用資金應在合約中設定鎖定時間,避免出現可能的反復投票或使用閃電貸進行投票。對于惡意提案,項目方和社區應提高關注度及警惕性,可考慮禁止合約地址參與投票,并設立預警機制,對于惡意提案,需及時作出預警和處理,禁止惡意提案的投票通過和執行。
Armors安全機構成立于2017年,是行業最早成立的專業區塊鏈安全機構之一。Armors是Polygon、BSC、Ethereum、Solana等公鏈審計合作伙伴,已為超過2000家區塊鏈平臺、交易所、錢包、DApp等機構和項目提供安全審計、滲透測試、跨鏈遷移、平臺安全等各方面保障及服務。成立以來,Armors已為客戶挽回超過32000個BTC的資產損失。
近年來,NFT的火爆程度有目共睹。不論是明星們動輒數十上百萬美元的NFT頭像,還是拍賣行里不斷刷新高價的NFT藝術作品,自元宇宙風潮席卷全球以來,各種NFT項目如雨后春筍,而擁有NFT也似乎成為.
1900/1/1 0:00:00今日,中國互聯網金融協會、中國銀行業協會、中國證券業協會聯合發布關于防范NFT相關金融風險的倡議,倡議中表明堅決遏制NFT金融化證券化傾向,從嚴防范非法金融活動風險,自覺遵守行為規范.
1900/1/1 0:00:00元宇宙是利用科技手段進行鏈接與創造的,與現實世界映射與交互的虛擬世界,具備新型社會體系的數字生活空間.
1900/1/1 0:00:00CoinbaseNFT已經以測試版形式上線。它目前支持基于以太坊的NFT和ETH支付。Coinbase的產品副總裁SanchanSaxena指出,即將推出完整的法幣入口.
1900/1/1 0:00:004月19日,AR企業雷鳥發布智能眼鏡產品雷鳥Air。無獨有偶,就在同一天,華為技術有限公司“一種AR眼鏡”專利獲授權.
1900/1/1 0:00:00本課主題:跨鏈:技術與發展課程介紹:隨著區塊鏈技術不斷發展,越來越多公鏈、聯盟鏈被我們熟知,關于跨鏈的研究從來都是熱潮迭起,區塊鏈經過幾年的喧囂、沉淀、升華,落地應用的成熟發展.
1900/1/1 0:00:00