買以太坊 買以太坊
Ctrl+D 買以太坊
ads

PRO:卷土重來?黑客獲利約130萬美元 FEGexPRO合約被攻擊事件分析_feg幣中文社區

Author:

Time:1900/1/1 0:00:00

2022年5月16日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,Ethereum和BNB Chain上FEGtoken項目的FEGexPRO合約遭受黑客攻擊,黑客獲利約3280?BNB?以及144 ETH,價值約130萬美元。成都鏈安技術團隊對事件進行了分析,結果如下。

事件相關信息

本次攻擊事件包含多筆交易,部分交易信息如下所示:

攻擊交易?(部分)

0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063?(BNB Chain)

SushiSwap主廚:建議在撤銷所有鏈上RouteProcessor2合約:金色財經報道, SushiSwap主廚Jared Gray在社交媒體發文,建議在所有區塊鏈上撤銷RouteProcessor2合約,他還表示目前正在與安全團隊合作解決這個問題。另據Block Research分析師Kevin Peng披露數據顯示,到目前為止,已有190個以太坊地址批準了有問題的合約,但在Layer 2 Arbitrum上已有超過2000個地址已經批準了有問題的合約。(The Block)[2023/4/9 13:53:09]

0x1e769a59a5a9dabec0cb7f21a3e346f55ae1972bb18ae5eeacdaa0bc3424abd2?(Ethereum)

攻擊者地址

0x73b359d5da488eb2e97990619976f2f004e9ff7c

美國聯邦存款保險公司與Piper Sandler合作,重新啟動出售硅谷銀行的方案:金色財經報道,據市場消息稱,美國聯邦存款保險公司與Piper Sandler合作,重新啟動出售硅谷銀行的方案。

此外,美國財政部表示正在密切關注瑞士信貸的情況,并與全球同行保持聯系。末日博士”魯比尼稱,不排除瑞信倒閉風險。

據英國金融時報報道,歐盤和美盤時段,瑞士信貸(CS.N)股價均暴跌,引發更多歐美銀行股暴跌,瑞信因而呼吁瑞士央行公開對其表示支持。兩名知情人士表示,瑞信還要求瑞士金融監管機構Finma對其表示支持,但兩家機構都尚未決定公開干預。Opimas分析師Octavio Marenzi表示,瑞士央行可能不得不干預并幫助瑞信,這看起來無法避免。瑞士央行和瑞士政府必須充分意識到,瑞信的破產,甚至儲戶的任何損失,都將摧毀瑞士作為金融中心的聲譽。[2023/3/16 13:06:58]

攻擊合約

數據:上月金融科技公司共籌集了超過 59 億美元:7月8日消息,據The Block數據,6 月金融科技初創公司共融資 59 億美元,延續了今年年初以來的下降趨勢。[2022/7/8 2:00:41]

0x9a843bb125a3c03f496cb44653741f2cef82f445

被攻擊合約(部分)

0x818e2013dd7d9bf4547aaabf6b617c1262578bc7?(BNB Chain)

0xf2bda964ec2d2fcb1610c886ed4831bf58f64948 (Ethereum)

Ethereum和BNB Chain上使用攻擊手法相同,以下分析基于BNB Chain上攻擊:

1. 攻擊者調用攻擊合約(0x9a84...f445)利用閃電貸從DVM合約(0xd534...0dd7)中借貸915.84 WBNB,然后將116.81 WBNB兌換成115.65 fBNB為后續攻擊做準備。

中信出版社首發數字藏品:金色財經報道,據中信出版官方公眾號,中信出版集團宣布推出首個捆綁圖書的《山海經》數字藏品,這款專為兒童設計的數字藏品,用破次元的前沿理念搭建起該款優質圖書的內容元宇宙,總計發行999份,這款動態數字藝術藏品一旦購買將永久存儲在區塊鏈上,擁有獨一無二的區塊鏈編號,本系列數字藏品不支持轉贈和二次交易。[2022/6/24 1:28:32]

2. 攻擊者利用攻擊合約創建了10個合約,為后續攻擊做準備。

3. 攻擊者接下來將兌換得到的fBNB代幣抵押到FEGexPRO合約(0x818e...8bc7)中。

泰國央行行長:不急于部署CBDC:5月27日消息,由于存在大量可行的在線支付替代方案,泰國銀行(BoT)暫停其中央銀行數字貨幣(CBDC)計劃。

泰國央行行長Sethaput Suthiwartnarueput在2022年世界經濟論壇上接受采訪時表示,他認為推出CBDC的必要性并不那么緊迫。因此,泰國央行表示,泰國銀行將在2022年第四季度繼續進行零售CBDC公開試驗。但是,這將是小規模的,金融機構將測試存款、取款和轉賬。

Suthiwartnarueput對Promptpay和其他的二維碼支付等現有在線支付方式表示滿意。他還聲稱,由于智能合約,使用區塊鏈技術可能會導致“意想不到的后果”和設計問題。(Beincrypto)[2022/5/27 3:45:58]

4. ?然后攻擊者重復調用depositInternal和swapToSwap函數,讓FEGexPRO合約授權fBNB給之前創建好的其他攻擊合約。

5. ?然后利用其他攻擊合約調用transferFrom函數將FEGexPRO合約中fBNB全部轉移到攻擊合約(0x9a84...f445)中。

6. 接下來又在LP交易對合約(0x2aa7...6c14)中借貸31,217,683,882,286.007211154 FEG代幣和423 WBNB。

7. 然后重復3、4、5步驟的攻擊手法,將FEGexPRO合約中大量FEG代幣盜取到攻擊合約中。

8. 然后歸還閃電貸,將獲得的WBNB轉入攻擊合約中完成此筆攻擊。

9. 此后,又利用相同的原理,執行了50余筆相同的攻擊,最獲利約144 ETH和3280 BNB。

本次攻擊主要利用了FEGexPRO合約中swapToSwap函數中path地址可控且合約中未對path地址進行有效性校驗的漏洞。由于合約中depositInternal函數中更新用戶余額時依賴于合約中當前代幣余額,攻擊者通過傳入一個惡意的path地址,調用swapToSwap函數時合約中代幣余額并未發生變化,導致攻擊者可以反復重置攻擊合約在FEGexPRO合約中記錄的代幣數量,從而讓FEGexPRO合約將自身代幣反復授權給攻擊者所控制的多個惡意合約。

截止發文時,被盜資金仍在攻擊者地址(0x73b3...ff7c)中并未轉移。

針對本次事件,成都鏈安技術團隊建議:

項目開發時,應該注意與其他合約交互時可能存在的安全風險,盡量避免將關鍵參數設置為用戶可控。如果業務需求如此,則需要嚴格判斷用戶輸入的參數是否存在風險。此外建議項目上線前選擇專業的安全審計公司進行全面的安全審計,規避安全風險。

Tags:BNBFEGPROEXPbnbtiger幣有價值嗎feg幣中文社區EPRO幣EXPOCash

中幣交易所
區塊鏈:肖風:元宇宙的底層邏輯_區塊鏈域名如何注冊

元宇宙的預言和趨勢分析 元宇宙實際上早已來到了人間,來到了商業領域。 一、五連冠和EDG 前不久,EDG獲得《英雄聯盟》S11總決賽冠軍,這場決賽,據統計有4.5億人次觀看.

1900/1/1 0:00:00
區塊鏈:騰訊視頻和優酷的數字藏品爭奪戰_APP

你不知道,騰訊視頻又發數字藏品了。5月15日,騰訊視頻發布了電視劇《且試天下》中的人物角色Q版形象數字藏品——男主角黑豐息/豐蘭息和女主角白風夕/風惜云.

1900/1/1 0:00:00
TAN:元宇宙中的虛擬人“活”得怎么樣?你不知道的皮囊背后_spartanprotocol

近日,央視五四晚會現身三位虛擬人與在武漢大學、人民大學的校園與眾多青年學子虛實同屏,同時依托騰訊音樂的虛擬社交平臺TMELAND打造了“數實融合虛擬音樂世界”,不少網友評論“科技感滿滿.

1900/1/1 0:00:00
USD:比特幣與納斯達克指數相關性創歷史新高_穩定幣

價格波動性:Yuga Labs虛擬土地的出售使以太坊區塊鏈癱瘓,導致ApeCoin價格飆升,然后暴跌。市場流動性:由于通脹飆升,土耳其里拉加密資產交易量飆升至年度新高.

1900/1/1 0:00:00
SEC:關于比特幣哪些該歸偵查機關管?_買比特幣賺了500萬

寫在開始:這篇文章從性質上來講,屬于筆者從現行法律法規和經歷為出發點,結合自身對比特幣行業情況了了解,發表一點感想,不具有任何指導意義,也絕非對現實情況的評判,更不構成任何投資建議.

1900/1/1 0:00:00
區塊鏈:金色早報 |新Terra Core最終版本已發布 已在5月27日啟動新鏈_以太坊交易所app下載

頭條 ▌Terra:新Terra Core最終版本已發布,已在5月27日啟動新鏈5月25日消息,Terra官方表示,新Terra Core的最終版本已經發布,已準備在5月27日啟動新鏈.

1900/1/1 0:00:00
ads