買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > 區塊鏈 > Info

ITH:UmbNetwork獎勵池攻擊事件分析-ODAILY_UMB幣

Author:

Time:1900/1/1 0:00:00

一、前言

北京時間2022年3月21日,知道創宇區塊鏈安全實驗室監測到BSC鏈和以太坊上的UmbNetwork獎勵池遭到黑客攻擊,損失約70萬美元。實驗室第一時間對本次事件進行跟蹤并分析。

二、基礎信息

攻擊者地址:0x1751e3e1aaf1a3e7b973c889b7531f43fc59f7d0

動態 | 3200萬枚XRP從Bithumb交易所轉出 價值891.1萬美元:據WhaleAlert數據顯示,北京時間02月05日15:27, 3200萬枚XRP從Bithumb交易所轉入rMa2gK開頭地址,按當前價格計算,價值約891.1萬美元,交易哈希為:F7697443867259B9F893E296561C257AB0C11941D4550FCEDAE061A48EC6EB88。[2020/2/5]

攻擊合約:0x89767960b76b009416bc7ff4a4b79051eed0a9ee

STEEM大漲14% 今晚上線韓國Bithumb:STEEM從早間開始持續上揚,在中午12時達到日內新高3.45美元,火幣Pro現報3.25美元,漲幅13.51%。韓國Bithumb公告稱,將于今晚上線STEEM。[2018/5/24]

StakingRewards合約:0xB3FB1D01B07A706736Ca175f827e4F56021b85dE

以太坊交易哈希:0x33479bcfbc792aa0f8103ab0d7a3784788b5b0e1467c81ffbed1b7682660b4fa

Bithumb等韓國大型虛擬貨幣交易積極開拓外國語服務:Bithumb等韓國大型虛擬貨幣交易所為召集海外投資者努力開拓外國語服務,并且為了構造健康的韓國虛擬貨幣市場積極配合反洗錢等法律法規。[2018/5/10]

BSC交易哈希:0x784b68dc7d06ee181f3127d5eb5331850b5e690cc63dd099cd7b8dc863204bf6

三、漏洞分析

此次事件,漏洞關鍵在于UmbNetwork獎勵池的StakingRewards合約中的_balance函數出現溢出漏洞,合約未校驗檢查balance的值,攻擊者通過amount發起下溢攻擊,抽空了池子中的代幣。

從合約代碼我們可以看出,合約未正確使用SafeMath安全庫且未作溢出檢查,導致此次攻擊發生。

四、攻擊流程

攻擊者從BSC鏈發起攻擊獲取156枚pancake-LP代幣:

攻擊者在以太坊上發起攻擊獲取8792枚UNI-V2代幣:

隨后攻擊者分別將代幣轉分別換成ETH、UMB和BNB,獲利約70萬美元。

五、分析

本次攻擊事件核心是由于合約未正確使用SafeMath庫并且未對合約進行溢出檢查導致合約出現溢出漏洞,而導致了此次事件的發生,建議項目方多加注意檢查合約是否正確使用各類安全庫。

近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。

Tags:UMBBITBithumbITHUMB幣BITBbithumb交易所中文名WITH幣

區塊鏈
RIN:除了ENS,去中心化域名還有哪些項目值得關注?-ODAILY_INTO

Jan.2022,GeorgeDataSource:DecentralizedDomainNames2021年11月,去中心化域名項目ENS發行其項目Token并向社區空投.

1900/1/1 0:00:00
TRI:Rikkei Finance被攻擊事件:預言機被黑客任意利用-ODAILY_TRIO幣

北京時間2022年4月15日11點18分,CertiK審計團隊監測到RikkeiFinance被攻擊,導致約合701萬元人民幣資產遭受損失.

1900/1/1 0:00:00
ETH:Beanstalk Farm攻擊事件分析:只要票數足夠多,惡意提案也可卷走數億資產-ODAILY_Mobipad

北京時間2022年4月17日,CertiK審計團隊監測到Beanstalk協議被惡意利用,導致24,830ETH和36,398,226BEAN遭受損失.

1900/1/1 0:00:00
WOR:World Mobile項目周報(2.21—2.27)-ODAILY_bitstamp交易所官網提現

2022年2月22日,LunarCrush的2月22日ALTrank排名中,WMT榮登榜首,LunarCrush一直專注于“用社交網絡監控加密貨幣”.

1900/1/1 0:00:00
Chain:一文讀懂區塊鏈、預言機和DeFi的權益質押機制-ODAILY_lenovochain

權益質押通常指將cryptocurrency作為抵押物鎖定,以保障某一區塊鏈網絡或智能合約協議的安全。權益質押的cryptocurrency資產通常與DeFi流動性、收益獎勵和治理權掛鉤.

1900/1/1 0:00:00
RAC:SupraOracles與跨鏈生態應用Bot Planet達成合作-ODAILY_Bridge Bot

SupraOracles宣布與BotPlanet建立合作伙伴關系,BotPlanet是一個將DeFi和NFT結合成可互操作的跨鏈體驗的多鏈游戲化生態系統.

1900/1/1 0:00:00
ads