2022年5月19日,據Beosin-Eagle Eye態勢感知平臺消息,Arbitrum公鏈上項目Swaprum項目疑是發生Rug Pull,涉及金額約300萬美元。
Beosin安全團隊第一時間對事件進行了分析,發現了項目方部署的流動性抵押獎勵池存在后門,項目方(Swaprum: Deployer)利用了add()后門函數盜取了用戶抵押的流動性代幣,以達到移除交易池子的流動性獲利的目的。
事件相關信息
攻擊交易(由于存在大量的攻擊交易,這里僅展示部分)
期權交易平臺Aevo開始提供LDO、PEPE、SUI、ARB等代幣相關的期權交易:5月15日消息,鏈上結構化產品Ribbon Finance推出的期權交易平臺Aevo開始提供與替代加密貨幣 (altcoins) 相關的期權,Aevo 用戶現可以交易與 Lido 的 LDO、Pepecoin (PEPE)、Sui 的 SUI、Arbitrum 的 ARB、Litecoin (LTC)、Aptos (APT) 和其他代幣相關的期權,這些代幣之前只能通過場外交易平臺 Ribbon Finance 進行交易。上月消息,期權交易平臺Aevo主網正式上線,首先支持用戶交易ETH期權。[2023/5/15 15:04:07]
攻擊者地址
以太坊Layer 2網絡Arbitrum鏈上NFT交易額突破1500萬美元:7月5日消息,據cryptoslam最新數據顯示,以太坊Layer 2網絡Arbitrum鏈上NFT交易額突破1500萬美元,截至目前為15,601,381美元,交易量35,690筆。[2022/7/5 1:51:11]
0xf2744e1fe488748e6a550677670265f664d96627(Swaprum: Deployer)
漏洞合約
0x2b6dec18e8e4def679b2e52e628b14751f2f66bc
(TransparentUpgradeableProxy Contract)
聲音 | 百慕大總理:政府尚未審查或批準Arbitrade提起的任何數字資產:據royalgazette報道,百慕大總理兼財政部長David Burt表示,百慕大金融管理局尚未發布Arbitrade進行數字資產業務的許可,百慕大政府尚未審查或批準Arbitrade提起的任何數字資產。[2018/12/18]
0xcb65D65311838C72e35499Cc4171985c8C47D0FC
(Implementation Contract)
為了方便展示我們以其中兩筆交易為例:
https://arbiscan.io/tx/0x36fef881f7e9560db466a343e541072a31a07391bcd0b9bcdb6cfe8ae4616fc0(調用add后門函數盜取流動性代幣)
韓國游戲巨頭Netmarble宣布將進軍區塊鏈并可能繼續推進ICO:韓國游戲巨頭Netmarble與迪士尼以及韓國娛樂巨頭CJ E&M等公司達成了合作伙伴關系,并發布了《諸如漫威:未來戰斗》和《星球大戰:力量競技場》等國際游戲。該公司董事會表示,它已經開始初步區塊鏈開發,并將在本月底向其股東提交一份ICO提案。Netmarble董事長Bang Joon-hyuk宣布:“游戲和加密貨幣之間有著非常密切的聯系。”[2018/3/13]
https://arbiscan.io/tx/0xcb64a40d652ff8bfac2e08aa6425ace9c19f0eeb4a6e32f0c425f9f9ea747edf(移除流動性獲利)
1. Swaprum項目方(Swaprum: Deployer)通過調用TransparentUpgradeableProxy 合約的add()后門函數盜取用戶質押在TransparentUpgradeableProxy 合約的流動性代幣。
2.通過將實現合約反編譯后,add()函數確實存在后門。該后門函數會將合約中的流動性代幣轉賬給_devadd地址[通過查詢_devadd地址,該地址返回為Swaprum項目方地址(Swaprum: Deployer)]。
3.Swaprum項目方(Swaprum: Deployer)利用第一步盜取的流動性代幣移除流動性代幣從而獲取大量的利益。
4.值得注意的是,項目方原本的流動性抵押合約并無漏洞,而是通過升級的方式將正常的流動性抵押獎勵合約
(https://arbiscan.io/address/0x99801433f5d7c1360ea978ea18666f7be9b3abf7#code)
替換為了含有后門的流動性抵押獎勵合約
(https://arbiscan.io/address/0xcb65d65311838c72e35499cc4171985c8c47d0fc#code)
本次攻擊主要原因是Swaprum項目方利用了代理合約可切換實現合約的功能,將正常的實現合約切換至存在后門函數的實現合約,從而后門函數盜取了用戶抵押的流動性資產。
截止發文時,Beosin KYT反洗錢分析平臺發現被盜的約1628個ETH(約300萬美金)資金已跨鏈至以太坊上,并且向Tornado Cash存入了1620個ETH。
Beosin
企業專欄
閱讀更多
金色薦讀
金色財經 善歐巴
迪新財訊
Chainlink預言機
區塊律動BlockBeats
白話區塊鏈
金色早8點
Odaily星球日報
Arcane Labs
歐科云鏈
Tags:ARBRUMARBIRBICarbon CreditRumbleArbitrage Analysis Beyond CommodityARBINU
DeFi數據 1、DeFi代幣總市值:463.80億美元 DeFi總市值及前十代幣 數據來源:coingecko2、過去24小時去中心化交易所的交易量34.
1900/1/1 0:00:00在加密世界里,錢包地址就像 “銀行卡賬號”、“收件地址”一樣重要,任何操作都離不開它,隨著Ordinals 協議的誕生,推動了比特幣基于隔離見證、Taproot升級的采用.
1900/1/1 0:00:00作者:西柚,ChainCatcher近日,由于 ordi 代幣的財富效應,吸引了一大批用戶涌入比特幣網絡交易 BRC-20 代幣.
1900/1/1 0:00:00作者:Elaine Yang;notion一、介紹比特幣NFT協議OrdinalsNFT 作為可以代表獨一無二的數字資產或實物資產的加密代幣,它在區塊鏈上具有唯一性和不可替代性.
1900/1/1 0:00:005月23日,香港證監會宣布,從6月1日起,《適用于虛擬資產交易平臺營運者的指引》正式實施,接受虛擬資產交易平臺營運者申領牌照.
1900/1/1 0:00:00作者:Andrew Fenton,Cointelegraph; 翻譯:古千峰 推特@jackygu2020BRC-20代幣和序列化NFT在比特幣上的推出與流行.
1900/1/1 0:00:00