比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > XMR > Info

CER:CertiK首發:加密版無損「倒信用卡」獲利百萬美元 FEG閃電貸攻擊事件分析_LibreFreelencer

Author:

Time:1900/1/1 0:00:00

北京時間2022年5月16日凌晨4:22:49,CertiK安全技術團隊監測到FEG在以太坊和BNB鏈上遭受大規模閃電貸攻擊,導致了價值約130萬美元的資產損失。

此攻擊是由“swapToSwap()”函數中的一個漏洞造成的,該函數在未對傳入參數進行篩查驗證的情況下,直接將用戶輸入的 "path "作為受信任方,允許未經驗證的 "path "參數(地址)來使用當前合約的資產。

因此,通過反復調用 "depositInternal() "和 "swapToSwap()",攻擊者可獲得無限制使用當前合約資產的許可,從而盜取合約內的所有資產。

受影響的合約地址之一:https://bscscan.com/address/0x818e2013dd7d9bf4547aaabf6b617c1262578bc7

Balancer V2預計將在3月推出 將在Gas費、資金效率等方面優化:Balancer V2版本預計將在3月推出。Balancer 創始人Fernando發布文章介紹Balancer V2。文章中指出Balancer V2的核心原則是安全性、靈活性、資金效率和Gas效率。這些亮點包括:機槍池、提升Gas效率、可定制的AMM logic、通過資產管理者提升資產效率、降低Gas費用、彈性預言機、社區治理協議費用。[2021/2/3 18:46:07]

漏洞交易

漏洞地址: https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c?

漏洞交易樣本:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063

IOST與Blocery達成深度合作 攜手變革韓國農產品流通領域:據IOST官網消息,近日IOST與Blocery達成深度合作。通過本次合作,IOST將與Blocery共同依托區塊鏈底層技術,攜手變革韓國農產品流通領域,打造更多鏈接線下的優質應用,加速促進全球生態落地。

Blocery是一個連接農產品的區塊鏈平臺,專注于解決現有食品供應鏈的流通問題,目前已在韓國獲得多項相關區塊鏈技術專利,2017年以來一直與韓國政府保持緊密合作。Blocery母公司EzFarm是一家的韓國領先的農業科技公司,年銷售額超1000萬。EzFarm將農業與IT技術相結合,提供智慧農場、農場生產管理、農產品直銷配送等平臺服務。[2020/11/18 21:12:57]

被盜資金追蹤:https://debank.com/profile/0x73b359d5da488eb2e97990619976f2f004e9ff7c/history

Bitget被知名安全評級機構CER收錄:據官方消息,Bitget目前已被國際知名安全評級機構CER的收錄上線。據悉,目前CER已開啟交易所安全評比,該評比將從18個緯度進行全面測評,并于12天后結束,目前Bitget排名全球第八。

據介紹,CER作為知名收錄平臺CMC及Coingecko的合作伙伴,其測評結果也將作為CMC及Coingecko的收錄標準。

Bitget始終把保障用戶資產及交易安全放在首位,除了投入大量的安全風控資金,Bitget還是一家SSL安全指標12項全部達到A+的合約交易所。另據透露,Bitget即將上線客戶資產驗證工具,客戶將可以第一時間驗證自己資金的安全性。[2020/8/14]

相關地址

攻擊者地址:https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c

韓國2018DreamConcert演唱會可用基于區塊鏈的Star Pay預購門票:韓國一年一度的DreamConcert演唱會將在1個月后舉辦。今年的演唱會門票需要通過基于區塊鏈支付的StarPay來購買門票。粉絲們使用StarPay不僅可以購買門票,還可以購買MD商品。[2018/4/13]

攻擊者合約:https://bscscan.com/address/0x9a843bb125a3c03f496cb44653741f2cef82f445

FEG代幣地址:https://bscscan.com/token/0xacfc95585d80ab62f67a14c566c1b7a49fe91167

FEG Wrapped BNB(fBNB): https://bscscan.com/address/0x87b1acce6a1958e522233a737313c086551a5c76#code

攻擊步驟

以下攻擊流程基于該漏洞交易:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063

① 攻擊者借貸915 WBNB,并將其中116 BNB存入fBNB。

② 攻擊者創建了10個地址,以便在后續攻擊中使用。

③攻擊者通過調用 "depositInternal() "將fBNB存入合約FEGexPRO。

根據當前地址的余額,"_balances2[msg.sender]"被增加。

④ 攻擊者調用了 "swapToSwap()",路徑參數是之前創建的合約地址。

該函數允許 "path "獲取FEGexPRO合約的114 fBNB。

⑤ 攻擊者反復調用 "depositInternal() "和 "swapToSwap()"(步驟③和④),允許多個地址(在步驟②中創建)獲取fBNB代幣,原因如下:

每次 "depositInternal() "被調用,_balance2[msg.sender]將增加約114 fBNB。

每次"swapToSwap()"被調用,攻擊者所創建合約能獲取該114 fBNB的使用權限。

⑥?由于攻擊者控制了10個地址,每個地址均可從當前地址花費114個fBNB,因此攻擊者能夠盜取被攻擊合約內的所有fBNB。

⑦ 攻擊者重復步驟④⑤⑥,在合約內耗盡FEG代幣。

⑧ 最后攻擊者出售了所有耗盡的資產,并償還閃電貸款,最終獲取了其余利潤。

資產去向

截至2022年5月16日6:43,被盜資金仍存儲在以太坊和BSC鏈上的攻擊者錢包(0x73b359d5da488eb2e97990619976f2f004e9ff7c)中。

原始資金來自以太坊和BSC的Tornado cash:https://etherscan.io/tx/0x0ff1b86c9e8618a088f8818db7d09830eaec42b82974986c855b207d1771fdbe

https://bscscan.com/tx/0x5bbf7793f30d568c40aa86802d63154f837e781d0b0965386ed9ac69a16eb6ab

攻擊者攻擊了13個FEGexPRO合約,以下為概覽:

Tags:CERBNBBSCTPSLibreFreelencertogetherbnb破解版BSCBURNtps幣圈

XMR
區塊鏈:13 張圖看懂 2022 年一季度區塊鏈行業投融資趨勢_USD

CB Insights 在發布 2022 年一季度區塊鏈領域投融資報告,從投資機構、投資規模、趨勢、地區以及被投領域等角度梳理了全球行業內投資概況,并進行了詳細的數據呈現.

1900/1/1 0:00:00
比特幣:金色觀察 | 比特幣價格預測兩極分化:跌至1萬美元OR漲至10萬美元_加密貨幣交易所

2022年對于比特幣而言有一個艱難的開端,投資者正在努力應對通脹上升、地緣緊張局勢以及美聯儲可能收緊貨幣政策的擔憂.

1900/1/1 0:00:00
NFT:哈佛區塊鏈最新研究:NFT 2.0投資指南_onekeytools插件

近段時間,NFT領域的創新引入了實用性,進而觸發了更大的增長潛力。這些NFT 2.0項目的不同之處在于,通過團隊的舉措,給用戶提供了實實在在的東西,包括生成收益、周邊商品、私人游艇派對、享受米其.

1900/1/1 0:00:00
DAO:Tiger VC DAO:心有猛虎 人人皆可是VC_GER

1942年,知名經濟學家約瑟夫·熊彼特(Joseph Schumpeter)創造了創造性破壞(creative destruction)一詞.

1900/1/1 0:00:00
比特幣:金色前哨 | MicroStrategy CFO :盡管最近BTC下跌 但不打算出售任何比特幣_Super Algorithmic Token

MicroStrategy這家軟件公司已經購買了超過 129,000 個比特幣,并且不打算出售任何比特幣.

1900/1/1 0:00:00
NFT:NFTs、社交通證與分數:鏈上聲譽系統應如何構建?_AMP

聲譽分數的未來與社區息息相關現實世界中,我們可以用駕照來證明自己的身份,但它無法顯示足夠的個人信息或是聲譽.

1900/1/1 0:00:00
ads