ITH:UmbNetwork獎勵池攻擊事件分析_bithumb交易所中文名

一、前言

北京時間2022年3月21日，知道創宇區塊鏈安全實驗室?監測到BSC鏈和以太坊上的UmbNetwork獎勵池遭到黑客攻擊，損失約70萬美元。實驗室第一時間對本次事件進行跟蹤并分析。

二、基礎信息

攻擊者地址：0x1751e3e1aaf1a3e7b973c889b7531f43fc59f7d0

29,997 ETH從Bithumb轉移到未知錢包:金色財經報道，數據顯示，29,997 ETH （價值約62,167,716美元）從Bithumb轉移到未知錢包。[2023/4/19 14:13:24]

攻擊合約：0x89767960b76b009416bc7ff4a4b79051eed0a9ee

StakingRewards合約:0xB3FB1D01B07A706736Ca175f827e4F56021b85dE

動態 | Bithumb收購交易恐告吹，中國和美國投資者將介入收購:9月30日，業內人士透露，截至昨日，新加坡財團BK Global還沒有支付收購Bithumb此前最大股東BTC控股公司持有的Bithumb多數股份的的余款，余款支付截至日期為本周內，因此BK集團收購Bithumb的計劃實際上可能已經成為泡影。韓國人控股的新加坡財團BK Global是一家醫療美容機構，財團的主席是一名整形外科醫生，名為金炳根Kim Byung Gun，他對區塊鏈非常感興趣。BK Global去年10月同意支付約3.5億美元，收購Bithumb 50%的控股權，目前只支付了1億美元的初始資金。如果BK財團沒有支付余款而導致收購合同被解除，很有演變成法庭糾紛。（韓國商報）[2019/9/30]

以太坊交易哈希：0x33479bcfbc792aa0f8103ab0d7a3784788b5b0e1467c81ffbed1b7682660b4fa

行情 | 韓國交易所Bithumb近日多個小幣種出現驚人溢價:韓國交易所Bithumb近日多個小幣種出現驚人溢價。Coinmarketcap數據顯示，目前Bithumb上交易量排名第一的為PAY，報7.39美元，是全球均價1.27美元的5.8倍。Bithumb上24小時交易量排名第二的POWR現報2.4美元，而全球均價僅為0.37美元。GTO、WAX等幣種價格同樣超出全球均價數倍。但比特幣、以太坊等主流幣價格與全球均價相比并未出現“泡菜溢價”。[2018/7/18]

BSC交易哈希：0x784b68dc7d06ee181f3127d5eb5331850b5e690cc63dd099cd7b8dc863204bf6

三、漏洞分析

此次事件，漏洞關鍵在于UmbNetwork獎勵池的StakingRewards合約中的?_balance?函數出現溢出漏洞，合約未校驗檢查?balance?的值，攻擊者通過?amount?發起下溢攻擊，抽空了池子中的代幣。

從合約代碼我們可以看出，合約未正確使用SafeMath安全庫且未作溢出檢查，導致此次攻擊發生。

四、攻擊流程

攻擊者從BSC鏈發起攻擊獲取156枚pancake-LP代幣:

攻擊者在以太坊上發起攻擊獲取8792枚UNI-V2代幣:

隨后攻擊者分別將代幣轉分別換成ETH、UMB和BNB，獲利約70萬美元。

五、分析

本次攻擊事件核心是由于合約未正確使用SafeMath庫并且未對合約進行溢出檢查導致合約出現溢出漏洞，而導致了此次事件的發生，建議項目方多加注意檢查合約是否正確使用各類安全庫。

近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：UMBHUMBithumbITHColumbusHumanscapebithumb交易所中文名Lilith Cash Bond

FIL幣