2022年5月16日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,Ethereum和BNB Chain上FEGtoken項目的FEGexPRO合約遭受黑客攻擊,黑客獲利約3280?BNB?以及144 ETH,價值約130萬美元。成都鏈安技術團隊對事件進行了分析,結果如下。
事件相關信息
本次攻擊事件包含多筆交易,部分交易信息如下所示:
攻擊交易?(部分)
0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063?(BNB Chain)
Memeland公布MEME代幣空投數量,總計172.5億枚:金色財經報道,NFT項目Memeland在官推公布了MEME代幣空投數量,總計172.5億枚,可與MVP、Captainz和Potatoz一起存儲。不過,Memeland沒有披露空投即時解鎖的代幣數量比例、以及后續待解鎖的比例。[2023/7/20 11:06:18]
0x1e769a59a5a9dabec0cb7f21a3e346f55ae1972bb18ae5eeacdaa0bc3424abd2?(Ethereum)
攻擊者地址
0x73b359d5da488eb2e97990619976f2f004e9ff7c
攻擊合約
0x9a843bb125a3c03f496cb44653741f2cef82f445
Chiliz創始人發推稱Chiliz將獲新生,或暗示Chiliz 2.0即將推出:2月7日,體育和娛樂公鏈Chiliz創始人Alexandre Dreyful在社交平臺上發表推文,明天將是你余生的第一天@Chiliz,社區認為此條推文或暗示CHZ 2.0智能鏈即將推出。[2023/2/7 11:52:55]
被攻擊合約(部分)
0x818e2013dd7d9bf4547aaabf6b617c1262578bc7?(BNB Chain)
0xf2bda964ec2d2fcb1610c886ed4831bf58f64948 (Ethereum)
Ethereum和BNB Chain上使用攻擊手法相同,以下分析基于BNB Chain上攻擊:
1. 攻擊者調用攻擊合約(0x9a84...f445)利用閃電貸從DVM合約(0xd534...0dd7)中借貸915.84 WBNB,然后將116.81 WBNB兌換成115.65 fBNB為后續攻擊做準備。
bittensor贏得了Polkadot的第36次拍賣:金色財經報道,Polkadot在社交媒體上稱,bittensor贏得了Polkadot的第36次拍賣。Bittensor將為Polkadot的多樣化生態系統帶來人工智能,包括社交媒體、供應鏈、身份、游戲、NFTs、DeFi、碳信用、隱私、機器人、物聯網等使用案例。[2023/1/13 11:11:07]
2. 攻擊者利用攻擊合約創建了10個合約,為后續攻擊做準備。
3. 攻擊者接下來將兌換得到的fBNB代幣抵押到FEGexPRO合約(0x818e...8bc7)中。
Axie Infinity啟動Origin第三階段,SLP獎勵正式轉移至Origin版本:8月12日消息,Axie Infinity已啟動Origin第三階段,該階段將SLP獎勵正式轉移至Origin版本并推出需要SLP和Moon Shards制作的NFT符文和護身符,此外該階段還對排行榜獎勵、制作/分解系統以及平衡性進行了調整。AxieInfinity表示,包括獎勵、平衡性等游戲組成部分均將在Season 0中進行重大調整和更改。[2022/8/12 12:20:51]
4. ?然后攻擊者重復調用depositInternal和swapToSwap函數,讓FEGexPRO合約授權fBNB給之前創建好的其他攻擊合約。
Compass Point將加密經紀商Voyager Digital的股票評級下調至中性:5月17日消息,投資機構Compass Point將加密經紀商Voyager Digital的股票評級從“買入”下調至“中性”。Compass Point指出加密行業面臨的不利因素,并質疑Voyager Digital的散戶投資者在市場暴跌期間的表現。
Compass Point預計,提供貸款產品的加密公司將受到更多監管審查。
據此前報道,加密資產經紀商Voyager Digital通過私募配售融資6000萬美元,Alameda Research領投,Galaxy Digital、Blockdaemon以及Digital Currency Group(DCG)等參投。Voyager Digital表示,當發行完成后,該公司將擁有超過2.25億美元的流動性,包括約1.75億美元的現金和另外5000萬美元的加密貨幣。
截至2022年3月31日,Voyager Digital一季度營收為1.027億美元,同比增長70%。(CoinDesk)[2022/5/18 3:23:26]
5. ?然后利用其他攻擊合約調用transferFrom函數將FEGexPRO合約中fBNB全部轉移到攻擊合約(0x9a84...f445)中。
6. 接下來又在LP交易對合約(0x2aa7...6c14)中借貸31,217,683,882,286.007211154 FEG代幣和423 WBNB。
7. 然后重復3、4、5步驟的攻擊手法,將FEGexPRO合約中大量FEG代幣盜取到攻擊合約中。
8. 然后歸還閃電貸,將獲得的WBNB轉入攻擊合約中完成此筆攻擊。
9. 此后,又利用相同的原理,執行了50余筆相同的攻擊,最獲利約144 ETH和3280 BNB。
本次攻擊主要利用了FEGexPRO合約中swapToSwap函數中path地址可控且合約中未對path地址進行有效性校驗的漏洞。由于合約中depositInternal函數中更新用戶余額時依賴于合約中當前代幣余額,攻擊者通過傳入一個惡意的path地址,調用swapToSwap函數時合約中代幣余額并未發生變化,導致攻擊者可以反復重置攻擊合約在FEGexPRO合約中記錄的代幣數量,從而讓FEGexPRO合約將自身代幣反復授權給攻擊者所控制的多個惡意合約。
截止發文時,被盜資金仍在攻擊者地址(0x73b3...ff7c)中并未轉移。
針對本次事件,成都鏈安技術團隊建議:
項目開發時,應該注意與其他合約交互時可能存在的安全風險,盡量避免將關鍵參數設置為用戶可控。如果業務需求如此,則需要嚴格判斷用戶輸入的參數是否存在風險。此外建議項目上線前選擇專業的安全審計公司進行全面的安全審計,規避安全風險。
虛擬數字人是具有數字外觀的虛擬角色。它是CG(計算機圖形學)技術,動作捕捉,圖形渲染,全息投影和人工智能的集成形成的創新“新物種”.
1900/1/1 0:00:00金色財經 區塊鏈5月16日訊 回顧加密貨幣十多年發展史,每個人都知道這一領域曾經發生過很多瘋狂的事情.
1900/1/1 0:00:00日前,Google I/O 2022大會上流出的一段英國倫敦塔的地圖視頻,贏得了全球數億次的點擊.
1900/1/1 0:00:00三家頭部互聯網大廠,13個數藏平臺,各有特點。BAT的現有地位和優勢,是否有利于其在數藏領域攻城掠地?數藏征途又將帶給它們什么樣的影響?當二級市場批量產生,它們能否保持一貫優勢?開發數字藏品,正.
1900/1/1 0:00:00盡管 NFT 的概念自 2014 年就出現了,但正式大流行是從 2021 年開始的。隨著不斷的創新,NFT 不再局限于數字藝術,隨著新趨勢、應用性和市場的出現,這一領域正在迅速轉變.
1900/1/1 0:00:001.DeFi代幣總市值:567.56億美元 DeFi總市值 數據來源:coingecko2.過去24小時去中心化交易所的交易量:108.
1900/1/1 0:00:00