一、前言
北京時間2022年3月21日,知道創宇區塊鏈安全實驗室監測到BSC鏈和以太坊上的UmbNetwork獎勵池遭到黑客攻擊,損失約70萬美元。實驗室第一時間對本次事件進行跟蹤并分析。
二、基礎信息
攻擊者地址:0x1751e3e1aaf1a3e7b973c889b7531f43fc59f7d0
Aave已在Goerli、Mumbai、Optimism和Arbritum測試網上部署V3.0.1版本:據官方推特,DeFi協議Aave已在Goerli、Mumbai、Optimism和Arbritum測試網上部署V3.0.1版本,想進行測試項目方和開發人員可在官網鏈接測試網模式。
此前金色財經報道,Aave團隊成員0xGraham.lens稱,Aave V3可能會于本周在以太坊主網上推出。[2023/1/19 11:20:20]
攻擊合約:0x89767960b76b009416bc7ff4a4b79051eed0a9ee
Bithumb支持Qtum硬分叉升級且已完成相關準備工作:8月26日,Bithumb交易所官推發文稱,支持量子鏈(Qtum)硬分叉且已完成相關準備工作,所有服務現均可用,不會有延遲影響。根據硬分叉升級進展,若后期對存取款服務有影響,將公告另行通知。
注:量子鏈(Qtum)主網將在區塊高度680,000進行硬分叉升級,預計時間在8月28日。[2020/8/26]
StakingRewards合約:0xB3FB1D01B07A706736Ca175f827e4F56021b85dE
公告 | Bithumb結束BithumbPro測試版服務:韓國虛擬貨幣交易所Bithumb在官網公告中稱從7月14日開始關閉BithumbPro測試版服務。今日(7月13日)17點開始結束BithumbPro測試版的交易服務,18點關閉所有服務,并于20點進行資產移動。[2018/7/13]
以太坊交易哈希:0x33479bcfbc792aa0f8103ab0d7a3784788b5b0e1467c81ffbed1b7682660b4fa
BSC交易哈希:0x784b68dc7d06ee181f3127d5eb5331850b5e690cc63dd099cd7b8dc863204bf6
三、漏洞分析
此次事件,漏洞關鍵在于UmbNetwork獎勵池的StakingRewards合約中的_balance函數出現溢出漏洞,合約未校驗檢查balance的值,攻擊者通過amount發起下溢攻擊,抽空了池子中的代幣。
從合約代碼我們可以看出,合約未正確使用SafeMath安全庫且未作溢出檢查,導致此次攻擊發生。
四、攻擊流程
攻擊者從BSC鏈發起攻擊獲取156枚pancake-LP代幣:
攻擊者在以太坊上發起攻擊獲取8792枚UNI-V2代幣:
隨后攻擊者分別將代幣轉分別換成ETH、UMB和BNB,獲利約70萬美元。
五、分析
本次攻擊事件核心是由于合約未正確使用SafeMath庫并且未對合約進行溢出檢查導致合約出現溢出漏洞,而導致了此次事件的發生,建議項目方多加注意檢查合約是否正確使用各類安全庫。
近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
Tags:UMBBITHUMBithumbBumblebotbitstamp怎么讀hummingbirdfinancebithumb交易所中文名
5月6日,波場聯合儲備宣布AlamedaResearch成為其首位成員及白名單機構,有權鑄造去中心化算法穩定幣USDD。USDD是由數學模型與算法支撐的完全去中心化穩定幣.
1900/1/1 0:00:00DAO會是下一次工業革命嗎? 基礎設施/金融 法律 可持續發展 教育領域 行動主義 IRL(現實生活) 風險投資 藝術 科學 時尚 在我們寫下《DAO改變世界的15種方式》后的8個月里.
1900/1/1 0:00:00據最新消息,格林納達常駐世界貿易組織代表、特命全權大使,波場TRON創始人孫宇晨先生閣下在保利廈門拍賣MetapolyXM-數字十二生肖獸首專場中,成功拍下全套數字藝術品.
1900/1/1 0:00:002022年2月14日,WorldMobile副總裁EnriqueOpi宣布與Epson達成合作關系。并就如何運用WorldMobile的技術構建社區,展開了會議討論.
1900/1/1 0:00:00據最新消息,TRC20-USDT流通量突破417億枚,在USDT總流通量中的占比進一步提升。此外,TRC20-USDT持有賬戶數現已突破1186萬.
1900/1/1 0:00:00音樂有了新的畫布。 通過NFTs直接評價創造者的工作,沒有中間層的干擾。我們正在見證一場新音頻運動革命的早期階段,它憑借“稀缺性”、“粉絲”和“訪問量”驅動.
1900/1/1 0:00:00