買以太坊 買以太坊
Ctrl+D 買以太坊
ads

HTT:加密版無損「倒信用卡」獲利百萬美元,FEG閃電貸攻擊事件分析-ODAILY_BNBLION幣

Author:

Time:1900/1/1 0:00:00

北京時間2022年5月16日凌晨4:22:49,CertiK安全技術團隊監測到FEG在以太坊和BNB鏈上遭受大規模閃電貸攻擊,導致了價值約130萬美元的資產損失。

此攻擊是由“swapToSwap()”函數中的一個漏洞造成的,該函數在未對傳入參數進行篩查驗證的情況下,直接將用戶輸入的"path"作為受信任方,允許未經驗證的"path"參數來使用當前合約的資產。

因此,通過反復調用"depositInternal()"和"swapToSwap()",攻擊者可獲得無限制使用當前合約資產的許可,從而盜取合約內的所有資產。

報告:70%的金融機構對加密支付感興趣:8月12日消息,據Ripple的一份最新報告顯示,70%的金融機構對使用區塊鏈技術進行支付感興趣。[2022/8/12 12:21:05]

受影響的合約地址之一:https://bscscan.com/address/0x818e2013dd7d9bf4547aaabf6b617c1262578bc7

漏洞交易

漏洞地址:https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c

漏洞交易樣本:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063

加密礦業公司Core Scientific通過SPAC在納斯達克上市:加密礦業公司Core Scientific通過與Power & Digital Infrastructure Acquisition Corp合并宣布在納斯達克上市,這筆交易是通過一家特殊目的的收購公司完成。截至發稿時,Core沒有宣布交易何時開始,也沒有宣布股票代碼。

Core Scientific在美國北達科他州、北卡羅來納州、喬治亞州和肯塔基州等多個州開展業務,除了是北美最大的加密貨幣礦商之一,該公司還是最大的托管和區塊鏈基礎設施提供商之一。Core已超出其目前的產能,并希望將其設施擴??展到另外其他兩個州。該公司運營著約8萬臺礦機,到2022年底將增加超過20萬臺。(U.today)[2021/7/22 1:08:13]

被盜資金追蹤:https://debank.com/profile/0x73b359d5da488eb2e97990619976f2f004e9ff7c/history

美國歌手Akon加密項目Akoin與Jeev合作實現盧旺達醫療數字化:美國歌手Akon旗下加密貨幣項目Akoin宣布與醫療解決方案提供商Jeev達成合作,將幫助盧旺達和非洲其他地區數百萬人獲得醫療保健的機會。該公司在一份新聞稿中表示,計劃將患者健康互動信息置于區塊鏈上以實現數字化。(CryptoSlate)[2020/6/25]

相關地址

攻擊者地址:https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c

攻擊者合約:https://bscscan.com/address/0x9a843bb125a3c03f496cb44653741f2cef82f445

FEG代幣地址:https://bscscan.com/token/0xacfc95585d80ab62f67a14c566c1b7a49fe91167

動態 | 澳大利亞州政府投資加密初創公司TravelbyBit以促進旅游業:據Cointelegraph報道,根據官方公告,澳大利亞昆士蘭州州政府向一家名為TravelbyBit的加密初創公司投資830萬澳元作為其創新基金。TravelbyBit讓越來越多的本地企業接受數字貨幣付款,并讓游客更容易預訂假期旅游行程,以增加昆士蘭的游客數量。[2018/8/2]

FEGWrappedBNB(fBNB):https://bscscan.com/address/0x87b1acce6a1958e522233a737313c086551a5c76#code

攻擊步驟

以下攻擊流程基于該漏洞交易:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063

聲音 | 法國政府官員:加密貨幣不應受到監管:據Cryptodisrupt消息,法國區塊鏈監管政策負責人Jean-Pierre Landau在最新的政府報告中表示,加密貨幣不應受到監管,對加密貨幣進行監管是危險的。他提到:“危險是三管齊下的:凍結技術在立法中的快速發展,未能把握我們打算監管的對象的真正性質,以及推動創新朝著監管規避方向發展。相反,監管應該在技術上是中立的,為了做到這一點,應該向參與者而不是產品本身發表意見。”[2018/7/9]

①攻擊者借貸915WBNB,并將其中116BNB存入fBNB。

②攻擊者創建了10個地址,以便在后續攻擊中使用。

③攻擊者通過調用"depositInternal()"將fBNB存入合約FEGexPRO。

根據當前地址的余額,"_balances2"被增加。

④攻擊者調用了"swapToSwap()",路徑參數是之前創建的合約地址。

該函數允許"path"獲取FEGexPRO合約的114fBNB。

⑤攻擊者反復調用"depositInternal()"和"swapToSwap()",允許多個地址獲取fBNB代幣,原因如下:

每次"depositInternal()"被調用,_balance2將增加約114fBNB。

每次"swapToSwap()"被調用,攻擊者所創建合約能獲取該114fBNB的使用權限。

⑥由于攻擊者控制了10個地址,每個地址均可從當前地址花費114個fBNB,因此攻擊者能夠盜取被攻擊合約內的所有fBNB。

⑦攻擊者重復步驟④⑤⑥,在合約內耗盡FEG代幣。

⑧最后攻擊者出售了所有耗盡的資產,并償還閃電貸款,最終獲取了其余利潤。

資產去向

截至2022年5月16日6:43,被盜資金仍存儲在以太坊和BSC鏈上的攻擊者錢包中。

原始資金來自以太坊和BSC的Tornadocash:https://etherscan.io/tx/0x0ff1b86c9e8618a088f8818db7d09830eaec42b82974986c855b207d1771fdbe

https://bscscan.com/tx/0x5bbf7793f30d568c40aa86802d63154f837e781d0b0965386ed9ac69a16eb6ab

攻擊者攻擊了13個FEGexPRO合約,以下為概覽:

寫在最后

本次攻擊事件本可通過安全審計來有效地避免。

CertiK安全專家認為審計過程中可以檢查出該風險——不受信任的"path"參數被傳遞到協議中,并獲取合約資產支出的權限。審計專家會將該風險歸類于主要風險級別,此外,如果進行更深層次的挖掘,還可列明被利用的多種可能。

Tags:QUOBNBBSCHTTQuotientBNBLION幣SHIBSC價格CHTT幣

POL幣最新價格
USDD:USDD-FRAXBP礦池正式登陸Curve-ODAILY_sdd幣價格

據最新消息,USDD-FRAXBP礦池已正式登陸Curve。 Curve原生穩定幣crvUSD已部署UI并正式上線:5月18日消息,Curve原生穩定幣crvUSD已部署UI并正式上線,目前支持.

1900/1/1 0:00:00
POO:SUN.io新2pool LP挖礦正在進行中, APY達43.02%-ODAILY_pooh幣價格

據官方消息,新2pool(USDD/USDT)LP礦池已于日前正式登陸SUN.io,目前雙幣挖礦火熱進行中,APY達43.02%.

1900/1/1 0:00:00
穩定幣:波場版穩定幣本周日均轉賬額突破71億美元-ODAILY_穩定幣杠桿挖礦

據區塊鏈瀏覽器TRONSCAN數據,過去一周,波場版穩定幣日均轉賬額為7,170,531,987美元,突破71億美元.

1900/1/1 0:00:00
VIN:波卡創始人Gavin Wood問題解答(一)-ODAILY_METAVILLAGE幣

“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.

1900/1/1 0:00:00
WEB3:Web3是游戲的未來?手游大廠Com2uS是這樣說的-ODAILY_區塊鏈

注:本文摘自手游大廠Com2uS的總裁KyuLee在2022年韓國區塊鏈周上的演講。大家有玩過Com2uS的游戲嗎?Com2uS從1998年創立之初就開始制作手機游戲,是首批手機游戲公司之一,現.

1900/1/1 0:00:00
SOF:Soft Rug Pull現身說法,告訴你什么是被騙了還幫人數錢-ODAILY_Starcro

北京時間2022年7月25日,CertiK安全團隊監測到去中心化交易所TeddyDoge的一個管理員地址向100多個地址發送了超過3000萬個TEDDY.

1900/1/1 0:00:00
ads