2022年4月17日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,算法穩定幣項目BeanstalkFarms遭黑客攻擊,黑客獲利近8000萬美元,成都鏈安技術團隊第一時間對事件進行了分析,結果如下。
1事件相關信息
攻擊交易
0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7
攻擊者地址
0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4
攻擊合約
0x79224bC0bf70EC34F0ef56ed8251619499a59dEf
被攻擊合約
Scopescan:Earning.Farm協議被盜,黑客獲利283枚WETH:8月9日消息,據Scopescan監測,Earning.Farm協議被盜金額為283 ETH。黑客從Tornado cash收到10枚ETH,創建了攻擊合約,并獲利283枚WETH(價值約合52.7萬美元)。
此前消息,Earning.Farm遭重入攻擊,損失154枚WETH。[2023/8/9 21:34:25]
0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5
2攻擊流程
1.攻擊者從攻擊的前一天發起了提案交易,提案通過會提取Beanstalk:BeanstalkProtocol合約中的資金。
安全團隊:SNK項目遭受攻擊,黑客獲利約19萬美元:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,SNK項目遭受攻擊(0x7394f2520ff4e913321dd78f67dd84483e396eb7a25cbb02e06fe875fc47013a),黑客利用SNK的邀請獎勵機制獲利19萬美元,目前資金仍在黑客地址中0x7738B2f18d994C7c8Fa10E1FE456069624740f3e,Beosin Trace將持續對資金流向進行監控。[2023/5/10 14:54:01]
2.黑客通過閃電貸換取了350,000,000個DAI,500,000,000個USDC,150,000,000個USDT,32,100,950個BEAN和11,643,065個LUSD作為資金儲備。
安全團隊:以太坊上PEAKDEFI遭攻擊,黑客獲利約6.6萬美元:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin?EagleEye 安全風險監控、預警與阻斷平臺監測顯示,ETH鏈上的PEAKDEFI項目遭受攻擊,攻擊者利用合約中sellLeftoverToken()函數未進行權限校驗。導致黑客合約中轉走29832 BAT,5083 SUSHI,32508 matic,831 link,總價值66659美元。[2022/11/5 12:19:47]
3.黑客將2步驟的DAI,USDC,USDT資金在Curve.fiDAI/USDC/USDT交易池中添加為979,691,328個3Crv流動性代幣,用15,000,000個3Crv換來15,251,318個LUSD。
黑客獲得比特幣黃金(BTG)錢包的Github存儲庫訪問權限 :據了解,BTG發送了一個重要警告,稱部分Windows版本的Github中存在一個可疑的原始文件。BTG警告用戶:“除非我們了解這個文件的作用,否則所有的用戶都應該假定這個文件是惡意的,可以竊取加密貨幣和/或用戶信息。雖然該文件不會觸發反病/反惡意軟件軟件,但不要認為該文件是安全的。”[2017/11/27]
4.將964,691,328個3Crv代幣兌換為795,425,740個BEAN3CRV-f用于投票,將32,100,950個BEAN和26,894,383LUSD添加流動性得到58,924,887個BEANLUSD-f流動性代幣。
5.使用4步驟中的BEAN3CRV-f和BEANLUSD-f來對提案進行投票,導致提案通過。從而Beanstalk:BeanstalkProtocol合約向攻擊合約轉入了36,084,584個BEAN,0.54個UNI-V2,874,663,982個BEAN3CRV-f以及60,562,844個BEANLUSD-f。
6.最后攻擊者將流動性移除并歸還閃電貸,把多余的代幣兌換為24830個ETH轉入攻擊者賬戶中。
3漏洞分析
本次攻擊主要利用了投票合約中的票數是根據賬戶中的代幣持有量得到的。
攻擊者至少在一天前發起提取Beanstalk:BeanstalkProtocol資金的提案,然后調用emergencyCommit進行緊急提交來執行提案,這個就是攻擊者1天之前發起攻擊準備的原因所在。
4資金追蹤
截止發文時,攻擊者獲利22029601個USDC,14742429個DAI,6,603,829個USDT與0.5407個UNI-V2,640224美元的BAEN代幣資金近8000萬,在攻擊時將其中的25萬USDC捐贈了烏克蘭,之后攻擊者將資金轉換為ETH并將資金持續向Tornado.Cash轉移。
針對本次事件,成都鏈安技術團隊建議:
1.投票所用資金應在合約中鎖定一定時間,避免使用賬戶的當前資金余額來統計投票數量,以避免可能出現的反復投票以及使用閃電貸進行投票;
2.項目方和社區應關注所有提案,如果提案是惡意提案,建議在提案投票期間應及時做出處理措施,將提案廢棄,禁止其接受投票以及執行;
3.可考慮禁止合約地址參與投票;此外項目上線前最好進行全面的安全審計,規避安全風險。
2021年8月至12月6日期間,BSC的PlaytoEarn鏈游推動了該鏈上用戶數大幅增長。BSC最初專注于DeFi的區塊鏈,現在成為GameFiDapps的樂園.
1900/1/1 0:00:00本文由”老雅痞laoyapicom“授權轉載 什么是vibe?聽說過氛圍感美女,氛圍感拍照,社區的氛圍感你了解過嗎?其實用“氛圍”做直譯并不是很準確,vibe是vibration的縮寫.
1900/1/1 0:00:00安信農保接受數字人民幣投保:金色財經報道,據新民晚報消息,安信農保已接受數字人民幣投保,可通過數字人民幣錢包將賠款轉至農戶數字錢包.
1900/1/1 0:00:00上方為BTC長期走勢,下方為動量指數曲線,從圖中可以看出,目前該指數自去年上半年BTC見一頂后便觸及上方壓制線從高位回落,到目前整體仍是震蕩下滑的狀態,即便去年11月BTC再創新高.
1900/1/1 0:00:00在2016年,DoKwon還只是一個名不見經傳的初創公司創始人,雄心勃勃地想為所有人帶來免費的互聯網服務,這時的他開始注意到,自己對分布式網絡的研究里不斷地出現和比特幣及以太坊相關的內容.
1900/1/1 0:00:00通過威廉姆指數可以看出,歷史上每次該指數從高位回落至下方水平線以下,意味著BTC到達這一輪熊市的大底區域,例如2011年、2014年和2018年熊市.
1900/1/1 0:00:00