比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > USDC > Info

BEA:Beanstalk Farms攻擊事件分析:惡意提案如何防范?-ODAILY_YFMoonBeam

Author:

Time:1900/1/1 0:00:00

2022年4月17日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,算法穩定幣項目BeanstalkFarms遭黑客攻擊,黑客獲利近8000萬美元,成都鏈安技術團隊第一時間對事件進行了分析,結果如下。

#1事件相關信息

攻擊交易

0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7

攻擊者地址

0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4

攻擊合約

0x79224bC0bf70EC34F0ef56ed8251619499a59dEf

被攻擊合約

Moonbeam已集成跨鏈互操作性協議LayerZero:8月29日消息,波卡生態智能合約平臺Moonbeam宣布集成跨鏈互操作性協議LayerZero,Moonbeam母公司Purestake的首席執行官Derek Yoo表示此舉旨在促進Moonbeam與以太坊、BNB Chain、Polygon等的跨鏈互操作性并鼓勵開發者在Moonbeam上開發應用。(CoinDesk)[2022/8/29 12:55:58]

0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5

#2攻擊流程

1.攻擊者從攻擊的前一天發起了提案交易,提案通過會提取Beanstalk:BeanstalkProtocol合約中的資金。

Moonbeam推出兼容Solidity智能合約的Foundry文檔:金色財經消息,Moonbeam宣布,現已支持Foundry的文檔,這是一種以太坊開發環境,可幫助開發人員從命令行編譯項目、部署合同并與區塊鏈交互。Foundry是用Rust代碼編寫的,可直接與Moonbeam的EthereumAPI交互,并用于將Solidity智能合約部署到Moonbeam。[2022/8/23 12:42:13]

2.黑客通過閃電貸換取了350,000,000個DAI,500,000,000個USDC,150,000,000個USDT,32,100,950個BEAN和11,643,065個LUSD作為資金儲備。

Moonbeam:為調查智能合約的安全事件,網絡已進入維護模式:8月2日消息,據Moonbeam官方通知,為調查部署在網絡上的智能合約的安全事件,網絡已進入維護模式。在此期間,網絡功能將受到限制,用戶將無法執行常規交易和智能合約交互。民主、質押、取消暫停和升級的能力將繼續有效。[2022/8/2 2:52:44]

3.黑客將2步驟的DAI,USDC,USDT資金在Curve.fiDAI/USDC/USDT交易池中添加為979,691,328個3Crv流動性代幣,用15,000,000個3Crv換來15,251,318個LUSD。

Beam將于塊高777777處執行第二次硬分叉,預計時間為6月28日:隱私幣項目Beam今日官方發文稱,將在區塊高度777777處執行路線圖中預定的第二次硬分叉,預計主網將在2020年6月28日左右抵達該高度。第二次硬分叉將把Beam的PoW算法從BeamHashII改為BeamHashIII。[2020/4/22]

4.將964,691,328個3Crv代幣兌換為795,425,740個BEAN3CRV-f用于投票,將32,100,950個BEAN和26,894,383LUSD添加流動性得到58,924,887個BEANLUSD-f流動性代幣。

5.使用4步驟中的BEAN3CRV-f和BEANLUSD-f來對提案進行投票,導致提案通過。從而Beanstalk:BeanstalkProtocol合約向攻擊合約轉入了36,084,584個BEAN,0.54個UNI-V2,874,663,982個BEAN3CRV-f以及60,562,844個BEANLUSD-f。

6.最后攻擊者將流動性移除并歸還閃電貸,把多余的代幣兌換為24830個ETH轉入攻擊者賬戶中。

#3漏洞分析

本次攻擊主要利用了投票合約中的票數是根據賬戶中的代幣持有量得到的。

攻擊者至少在一天前發起提取Beanstalk:BeanstalkProtocol資金的提案,然后調用emergencyCommit進行緊急提交來執行提案,這個就是攻擊者1天之前發起攻擊準備的原因所在。

#4資金追蹤

截止發文時,攻擊者獲利22029601個USDC,14742429個DAI,6,603,829個USDT與0.5407個UNI-V2,640224美元的BAEN代幣資金近8000萬,在攻擊時將其中的25萬USDC捐贈了烏克蘭,之后攻擊者將資金轉換為ETH并將資金持續向Tornado.Cash轉移。

針對本次事件,成都鏈安技術團隊建議:

1.投票所用資金應在合約中鎖定一定時間,避免使用賬戶的當前資金余額來統計投票數量,以避免可能出現的反復投票以及使用閃電貸進行投票;

2.項目方和社區應關注所有提案,如果提案是惡意提案,建議在提案投票期間應及時做出處理措施,將提案廢棄,禁止其接受投票以及執行;

3.可考慮禁止合約地址參與投票;此外項目上線前最好進行全面的安全審計,規避安全風險。

Tags:BEABEAMUSDMOONADABEARYFMoonBeamUSD ZEEFlurMoon

USDC
TRC:TRC20-USDT流通量突破417億枚-ODAILY_RC2

據最新消息,TRC20-USDT流通量突破417億枚,在USDT總流通量中的占比進一步提升。此外,TRC20-USDT持有賬戶數現已突破1186萬.

1900/1/1 0:00:00
NFT:DAOrayaki:正在擴張的音樂NFT新版圖與前景-ODAILY_USD

音樂有了新的畫布。 通過NFTs直接評價創造者的工作,沒有中間層的干擾。我們正在見證一場新音頻運動革命的早期階段,它憑借“稀缺性”、“粉絲”和“訪問量”驅動.

1900/1/1 0:00:00
PEN:OpenSea是如何成為最受歡迎的NFT市場的?-ODAILY_OPEN

他們做對了什么? 一個項目的成功不能僅僅歸因于幾個因素,它需要出色的產品、優質的團隊、適合的契機以及運氣.

1900/1/1 0:00:00
WEB:Web3:去中心化經濟和遠程工作的基石-ODAILY_Zeppelin Dao

Web3的誕生和普及 在網絡、工作和去中心化經濟領域,Web3已經開始嶄露頭角。2022年,人們正在見證Web3領域新興技術的巨大潛在影響,尤其是在去中心化經濟和遠程工作這些方面.

1900/1/1 0:00:00
AVE:詳解Arweave系列一:什么是Arweave?-ODAILY_Arweave

拓展閱讀: 詳解Arweave系列二:Arweave初學者的關鍵術語詳解Arweave系列三:Arweave初學者必不可少的工具詳解Arweave系列四:何上傳數據到Arweave當試圖解釋Ar.

1900/1/1 0:00:00
tron:TRX成全球加密貨幣TOP50中唯一實現正向增長的加密貨幣-ODAILY_G9TRO價格

據最新消息,TRX成為過去一周全球前五十大加密貨幣中唯一實現正向增長的加密貨幣,成為對抗市場下行最強勁的力量。截至目前,TRX市值為77.9億美元,位居行業第18位.

1900/1/1 0:00:00
ads