BTC/HKD+0.06%
ETH/HKD+0.35%
LTC/HKD+0.57%
DOT/HKD+1.05%
ADA/HKD-0.45%
SOL/HKD-0.59%
XRP/HKD+0.29%
DOGE/US-0.01%2022年4月17日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,算法穩定幣項目Beanstalk Farms遭黑客攻擊,黑客獲利近8000萬美元,成都鏈安技術團隊第一時間對事件進行了分析,結果如下。
1 事件相關信息
攻擊交易
0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7
攻擊者地址
0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4
攻擊合約
0x79224bC0bf70EC34F0ef56ed8251619499a59dEf
Themis Protocol遭受預言機操縱攻擊,黑客獲利約37萬美元:6月28日消息, DeFi協議Themis Protocol發推確認協議被利用,暫停借貸功能,稱目前第一個選擇是嘗試與黑客合作取回資金,若黑客不愿意合作將與當局合作解決,目前正在制定補償計劃。
據ChainAegis安全監測顯示,Themis Protocol遭受預言機操縱攻擊,攻擊者竊取了37萬美元。[2023/6/28 22:05:10]
被攻擊合約
0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5
2 攻擊流程
1. 攻擊者從攻擊的前一天發起了提案交易,提案通過會提取Beanstalk: Beanstalk Protocol合約中的資金。
PeckShield:BNB Chain上一未驗證合約遭到攻擊,黑客獲利超22萬美元:金色財經報道,據 PeckShield 監測,BNB Chain 上一未驗證合約(0x6D8981847Eb3cc2234179d0F0e72F6b6b2421a01),黑客獲利約 22.5 萬美元。目前黑客已將盜取的約 22.5 萬枚 DAI 以及少量以太坊通過 Multichain 跨鏈至以太坊并最終轉入 RAILGUN。[2023/2/27 12:31:56]
2. 黑客通過閃電貸換取了350,000,000個DAI,500,000,000個USDC,150,000,000個USDT,32,100,950個BEAN和11,643,065個LUSD作為資金儲備。
Wormhole通過Immunefi平臺修復一高危漏洞,黑客獲1000萬美元獎勵:5月21日,據Immunefi官方消息,白帽黑客satya0x通過該平臺為跨鏈橋Wormhole檢舉出一高危漏洞,并因此獲得1000萬美元獎勵金,創下Immunefi平臺獲獎金額最高記錄。該漏洞很快得到修復,沒有用戶資金受到影響。[2022/5/21 3:32:04]
3. 黑客將2步驟的DAI,USDC,USDT資金在Curve.fi DAI/USDC/USDT交易池中添加為979,691,328個3Crv流動性代幣,用15,000,000個3Crv換來15,251,318個LUSD。
Rari Capital在Fuse上的資金池遭到攻擊,黑客獲利近8000萬美元:4月30日消息,Rari Capital在Fuse上的資金池遭到攻擊,黑客獲利近8000萬美元。算法穩定幣協議Fei Protocol表示如果黑客愿意歸還被盜資金,愿意提供1000萬美元賞金。[2022/4/30 2:42:33]
4. 將964,691,328個3Crv代幣兌換為795,425,740個BEAN3CRV-f用于投票,將32,100,950個BEAN和26,894,383LUSD添加流動性得到58,924,887個BEANLUSD-f流動性代幣。
5. 使用4步驟中的BEAN3CRV-f和BEANLUSD-f來對提案進行投票,導致提案通過。從而Beanstalk: Beanstalk Protocol合約向攻擊合約轉入了36,084,584個BEAN,0.54個UNI-V2,874,663,982個BEAN3CRV-f以及60,562,844個BEANLUSD-f。
6. 最后攻擊者將流動性移除并歸還閃電貸,把多余的代幣兌換為24830個ETH轉入攻擊者賬戶中。
3 漏洞分析
本次攻擊主要利用了投票合約中的票數是根據賬戶中的代幣持有量得到的。
攻擊者至少在一天前發起提取Beanstalk: Beanstalk Protocol資金的提案,然后調用emergencyCommit進行緊急提交來執行提案,這個就是攻擊者1天之前發起攻擊準備的原因所在。
4 資金追蹤
截止發文時,攻擊者獲利22029601 個USDC ,14742429個 DAI,6,603,829個USDT與0.5407個UNI-V2,640224美元的BAEN代幣資金近8000萬,在攻擊時將其中的25萬USDC捐贈了烏克蘭,之后攻擊者將資金轉換為ETH并將資金持續向Tornado.Cash轉移。
針對本次事件,成都鏈安技術團隊建議:
1. 投票所用資金應在合約中鎖定一定時間,避免使用賬戶的當前資金余額來統計投票數量,以避免可能出現的反復投票以及使用閃電貸進行投票;
2. 項目方和社區應關注所有提案,如果提案是惡意提案,建議在提案投票期間應及時做出處理措施,將提案廢棄,禁止其接受投票以及執行;
3. 可考慮禁止合約地址參與投票;此外項目上線前最好進行全面的安全審計,規避安全風險。
Tags:BEAUSDTALBEANSADABEAR幣ledger錢包支持usdt么CRYSTALBNBeanstalk
頭條 ▌四川省發改委發文稱嚴打挖礦和執行差別電價4月15日消息,四川省發改委發布通知,根據國家和省整治虛擬貨幣“挖礦”活動相關政策規定,嚴禁一切虛擬貨幣“挖礦”活動.
1900/1/1 0:00:002022年4月10日,比特幣登上哥倫比亞廣播公司旗下、已故美國主持人華萊士擔任過出鏡記者的著名視頻欄目CBS 60minutes.
1900/1/1 0:00:00導語:元宇宙火了,但它到底是什么?有哪些落地場景?用戶在哪里?商業模式是什么?帶著這些疑問,巴比特今天起開設《超級體驗官》欄目,通過沉浸式體驗,發掘元宇宙賽道的無盡潛力.
1900/1/1 0:00:001.金色觀察|gas費能變成固定的嗎?以太坊用戶一直受gas費浮動的困擾,這帶來了一個問題,Gas費能變成恒定的嗎?2021年8月,以太坊研究者論壇里一個geth的開發者提出.
1900/1/1 0:00:00致力于扭轉自然惡化的非營利組織GainForest開始與巴拉圭環境部(MADES)合作,保護巴拉圭大查科美洲區(grand Chaco Americano)數千公頃的森林.
1900/1/1 0:00:004月16日,2022清華五道口全球金融論壇召開,會上中國金融學會會長、中國人民銀行原行長周小川針對數字人民幣及數字貨幣的問題發表了《關于數字貨幣的幾點問題及回應》的演講.
1900/1/1 0:00:00
比特幣價格
