北京時間2022年5月16日凌晨4:22:49,CertiK安全技術團隊監測到FEG在以太坊和BNB鏈上遭受大規模閃電貸攻擊,導致了價值約130萬美元的資產損失。
此攻擊是由“swapToSwap()”函數中的一個漏洞造成的,該函數在未對傳入參數進行篩查驗證的情況下,直接將用戶輸入的"path"作為受信任方,允許未經驗證的"path"參數來使用當前合約的資產。
因此,通過反復調用"depositInternal()"和"swapToSwap()",攻擊者可獲得無限制使用當前合約資產的許可,從而盜取合約內的所有資產。
Coinbase前產品經理的兄弟對加密貨幣內幕交易指控認罪:金色財經報道,Coinbase前產品經理的兄弟Nikhil Wahi在美國地方法院的虛擬法庭聽證會上承認,他根據Coinbase的機密信息進行交易。檢察官說,Coinbase前產品經理Ishan Wahi將Coinbase計劃讓用戶交易的新數字資產的機密信息,分享給他的兄弟以及他們的朋友Sameer Ramani。據稱,Nikhil Wahi和Ramani隨后使用以太坊區塊鏈錢包獲得這些資產,并在2021年6月和2022年4月Coinbase發布公告之前,至少進行了14次交易。
Nikhil Wahi告訴法官:“我知道接收Coinbase的機密信息并根據這些機密信息進行交易是錯誤的。”(路透社)[2022/9/13 13:24:56]
受影響的合約地址之一:https://bscscan.com/address/0x818e2013dd7d9bf4547aaabf6b617c1262578bc7
歐洲證券和市場管理局負責人:加密市場的監管壓力增加:金色財經報道,歐洲證券和市場管理局 (ESMA) 負責人 Verena Ross 認為,隨著通貨膨脹的持續蔓延,散戶投資者可能希望開始流入高風險的數字資產,加密市場的監管壓力增加。
Verena Ross警告說,加密貨幣可能會給尋求在通貨膨脹期間保護現金的零售買家帶來風險,并敦促在歐洲為數字資產實施一套正式的監管規則。ESMA 正在密切關注投資者希望投入各種風險資產以在通脹期間產生巨額利潤的資金流向。
到目前為止,歐盟監管機構正在根據當地立法做出與加密貨幣相關的決定,每個國家選擇不同的做法,決定自己的方法。(彭博社)[2022/5/27 3:44:44]
漏洞交易
漏洞地址:https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c
Crypto.com成為IIHF冰上曲棍球世界錦標賽的官方加密貨幣和NFT贊助商:5月14日消息,總部位于香港的加密貨幣借記卡公司和交易平臺Crypto.com宣布已與IIHF冰上曲棍球世界錦標賽簽署為期兩年的官方贊助協議,成為2021年5月21日至6月6日在拉脫維亞里加舉行的2021年國際冰球聯合會冰球世界錦標賽以及2022年國際冰球聯合會冰球世界錦標賽芬蘭站的獨家加密貨幣和NFT贊助商。
Crypto.com將利用IIHF冰球世界錦標賽的檔案,在比賽期間發布NFT,展示在IIHF世界錦標賽歷史上的一些精彩瞬間。[2021/5/14 22:03:38]
漏洞交易樣本:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063
GMO公司Q1加密業務銷售額同比增長10.9%:5月12日,日本GMO公司公布其Q1財務報告。虛擬貨幣(加密資產)業務銷售額同比增長10.9%,達到14.3億日元,營業收入為4.2億日元(而去年同期為赤字2.2億日元)。采礦業務銷售額和利潤較低,但GMO Coin的交易所業務的銷售額和利潤較高,總體實現盈利。此外,GMO表示,將于5月推出錨定日元的穩定幣GMO Japanese YEN(GYEN)。(JP.Cointelegraph)[2020/5/12]
被盜資金追蹤:https://debank.com/profile/0x73b359d5da488eb2e97990619976f2f004e9ff7c/history
相關地址
攻擊者地址:https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c
動態 | 馬耳他管理局實施了加密和DLT監管沙箱的第一階段:據btcmanager消息,馬耳他管理局(MGA)成功推出了第一個沙盒框架,用于接受加密貨幣、虛擬金融資產(VFA)以及將分布式賬本技術(DLT)集成到本地游戲生態系統中。MGA表示,它已經更新了其許可方關系管理系統(LRMS),使其游戲世界的新老運營商能夠獲得使用DLT資產的許可,并通過月度玩家資金報告無縫地報告VFA玩家負債。[2019/1/6]
攻擊者合約:https://bscscan.com/address/0x9a843bb125a3c03f496cb44653741f2cef82f445
FEG代幣地址:https://bscscan.com/token/0xacfc95585d80ab62f67a14c566c1b7a49fe91167
FEGWrappedBNB(fBNB):https://bscscan.com/address/0x87b1acce6a1958e522233a737313c086551a5c76#code
攻擊步驟
以下攻擊流程基于該漏洞交易:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063
①攻擊者借貸915WBNB,并將其中116BNB存入fBNB。
②攻擊者創建了10個地址,以便在后續攻擊中使用。
③攻擊者通過調用"depositInternal()"將fBNB存入合約FEGexPRO。
根據當前地址的余額,"_balances2"被增加。
④攻擊者調用了"swapToSwap()",路徑參數是之前創建的合約地址。
該函數允許"path"獲取FEGexPRO合約的114fBNB。
⑤攻擊者反復調用"depositInternal()"和"swapToSwap()",允許多個地址獲取fBNB代幣,原因如下:
每次"depositInternal()"被調用,_balance2將增加約114fBNB。
每次"swapToSwap()"被調用,攻擊者所創建合約能獲取該114fBNB的使用權限。
⑥由于攻擊者控制了10個地址,每個地址均可從當前地址花費114個fBNB,因此攻擊者能夠盜取被攻擊合約內的所有fBNB。
⑦攻擊者重復步驟④⑤⑥,在合約內耗盡FEG代幣。
⑧最后攻擊者出售了所有耗盡的資產,并償還閃電貸款,最終獲取了其余利潤。
資產去向
截至2022年5月16日6:43,被盜資金仍存儲在以太坊和BSC鏈上的攻擊者錢包中。
原始資金來自以太坊和BSC的Tornadocash:https://etherscan.io/tx/0x0ff1b86c9e8618a088f8818db7d09830eaec42b82974986c855b207d1771fdbe
https://bscscan.com/tx/0x5bbf7793f30d568c40aa86802d63154f837e781d0b0965386ed9ac69a16eb6ab
攻擊者攻擊了13個FEGexPRO合約,以下為概覽:
寫在最后
本次攻擊事件本可通過安全審計來有效地避免。
CertiK安全專家認為審計過程中可以檢查出該風險——不受信任的"path"參數被傳遞到協議中,并獲取合約資產支出的權限。審計專家會將該風險歸類于主要風險級別,此外,如果進行更深層次的挖掘,還可列明被利用的多種可能。
本周摘要 -CPI指數來到8.6%后,市場暴跌,經濟衰退要來了嗎?-Celsius和stETH的影響下ETH繼續下跌,它會成為下一個Terra和UST嗎? 一、上周行業動態 本周市場在周五跳水.
1900/1/1 0:00:00據官方消息,為保護整個區塊鏈行業和加密貨幣市場,波場聯合儲備正在購買價值5000萬美元的BTC和TRX作為儲備.
1900/1/1 0:00:00據最新消息,6月21日,SUN.io上的2pool(USDD/USDT)礦池APY最高達45.49%,為全網最高。加入SUN.io2pool穩定幣挖礦,即可享受豐厚的USDD+SUN雙幣獎勵.
1900/1/1 0:00:00據最新消息,波場去中心化超抵押穩定幣USDD正式登陸HitBTC交易平臺。HitBTC現已支持USDD交易和質押,目前年利率為21%.
1900/1/1 0:00:00當流動性質押衍生品超過共識閾值,將不再安全流動性質押衍生品如Lido和類似協議是卡特爾化的一種表現,當超過關鍵共識閾值時,會對以太坊和協議相關的集合資本構成重大風險.
1900/1/1 0:00:00免責聲明:本文旨在傳遞更多市場信息,不構成任何投資建議。 要說互聯網當初興起時和如今的Web3.0有何不同,只需要看看加密世界的發展史就知道.
1900/1/1 0:00:00