比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > 火必APP > Info

BEA:Beanstalk Farms攻擊事件分析:惡意提案如何防范?_TALK

Author:

Time:1900/1/1 0:00:00

2022年4月17日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,算法穩定幣項目BeanstalkFarms遭黑客攻擊,黑客獲利近8000萬美元,成都鏈安技術團隊第一時間對事件進行了分析,結果如下。

#1事件相關信息

攻擊交易

0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7

攻擊者地址

0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4

Moonbeam社區撥款委員會公布第一批生態系統補助金快照投票結果:3月26日消息,波卡生態智能合約平臺Moonbeam在推特上表示,社區撥款委員會公布了修訂后的GLMR第一批生態系統補助金申請結果,并對修改部分作出了解釋。現在,快照投票已經完成,社區有機會表明他們希望如何分配第一批生態系統補助金,鏈上投票已經準備完畢。撥款委員會作出了以下調整:任何提案如果收到的GLMR價值低于25萬美元(基于“修訂后撥款計劃”通過之日起的7天TWAP),將不會被納入鏈上投票。

修訂后撥款計劃于3月7日通過,7天TWAP當時是0.41美元。根據這一數字,納入投票的門檻為609756 GLMR,即13.55%的投票率。[2023/3/26 13:27:24]

攻擊合約

PhantaBear近24小時交易額超1000萬美元,占近50%總交易額:金色財經報道,據最新數據顯示,周杰倫加持的NFT系列PhantaBear過去24小時交易量突然增長,本文撰寫時銷售量為1667筆,交易人數為1858,交易金額也已經超過1000萬美元,當前達到1034萬美元,24小時漲幅為323.8%。截至目前,該NFT系列總交易額約為2800萬美元,這意味著過去24小時的交易額占到其總交易額的近50%。[2022/1/8 8:34:07]

0x79224bC0bf70EC34F0ef56ed8251619499a59dEf

被攻擊合約

動態 | Beaxy交易所出現XRP異常高交易量 已停止交易活動和取款服務:據The Block 消息,昨日,XRP在加密貨幣交易所Beaxy出現大幅拋售,導致其價格在Beaxy上的交易價格比其他交易所低62%。由于這種“不同尋常的高成交量活動”,Beaxy在調查情況時很快停止了其平臺上的所有交易活動。 在暫停交易之前,XRP在Beaxy的交易價格為0.00001美元,而在幣安的交易價格為0.00002637美元。由于交易所已經停止所有交易活動,XRP持有人現在不能從其賬戶中提取。[2019/8/13]

0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5

#2攻擊流程

1.攻擊者從攻擊的前一天發起了提案交易,提案通過會提取Beanstalk:BeanstalkProtocol合約中的資金。

2.黑客通過閃電貸換取了350,000,000個DAI,500,000,000個USDC,150,000,000個USDT,32,100,950個BEAN和11,643,065個LUSD作為資金儲備。

3.黑客將2步驟的DAI,USDC,USDT資金在Curve.fiDAI/USDC/USDT交易池中添加為979,691,328個3Crv流動性代幣,用15,000,000個3Crv換來15,251,318個LUSD。

4.將964,691,328個3Crv代幣兌換為795,425,740個BEAN3CRV-f用于投票,將32,100,950個BEAN和26,894,383LUSD添加流動性得到58,924,887個BEANLUSD-f流動性代幣。

5.使用4步驟中的BEAN3CRV-f和BEANLUSD-f來對提案進行投票,導致提案通過。從而Beanstalk:BeanstalkProtocol合約向攻擊合約轉入了36,084,584個BEAN,0.54個UNI-V2,874,663,982個BEAN3CRV-f以及60,562,844個BEANLUSD-f。

6.最后攻擊者將流動性移除并歸還閃電貸,把多余的代幣兌換為24830個ETH轉入攻擊者賬戶中。

#3漏洞分析

本次攻擊主要利用了投票合約中的票數是根據賬戶中的代幣持有量得到的。

攻擊者至少在一天前發起提取Beanstalk:BeanstalkProtocol資金的提案,然后調用emergencyCommit進行緊急提交來執行提案,這個就是攻擊者1天之前發起攻擊準備的原因所在。

#4資金追蹤

截止發文時,攻擊者獲利22029601個USDC,14742429個DAI,6,603,829個USDT與0.5407個UNI-V2,640224美元的BAEN代幣資金近8000萬,在攻擊時將其中的25萬USDC捐贈了烏克蘭,之后攻擊者將資金轉換為ETH并將資金持續向Tornado.Cash轉移。

針對本次事件,成都鏈安技術團隊建議:

1.投票所用資金應在合約中鎖定一定時間,避免使用賬戶的當前資金余額來統計投票數量,以避免可能出現的反復投票以及使用閃電貸進行投票;

2.項目方和社區應關注所有提案,如果提案是惡意提案,建議在提案投票期間應及時做出處理措施,將提案廢棄,禁止其接受投票以及執行;

3.可考慮禁止合約地址參與投票;此外項目上線前最好進行全面的安全審計,規避安全風險。

Tags:BEAUSDTALKNSTBEAST價格泰達幣和usdt有什么區別talken幣價格Unstoppable Domains

火必APP
CON:ConsenSys:以太坊合并將徹底改變構建和訪問以太坊的方式_PLE

DeFi之道訊,4月18日,以太坊基礎設施開發公司ConsenSys發布報告表示,以太坊合并將徹底改變構建和訪問以太坊的方式.

1900/1/1 0:00:00
比特幣:比特幣(BTC)永續合約價格分析:4 月 19 日_BTC

4月19日,看漲的BTC價格分析為43,890美元。BTC對2022年4月10日的看跌市場價格分析為42,980美元。比特幣的MA呈下降趨勢.

1900/1/1 0:00:00
GAT:Gate.io 槓桿代幣專區新增 DOGE5L/5S,交易DOGE槓桿代幣瓜分$5,000福利獎池活動發獎公告_TPS

“Gate.io槓桿代幣專區新增DOGE5L/5S!交易DOGE系列槓桿代幣,瓜分價值5000美元獎池!”活動已圓滿結束,感謝大家的參與!我們已爲每一位獲獎用戶發放獎勵.

1900/1/1 0:00:00
NFT:NFT數據日報 | Utility類NFT日交易量占比攀升(4.20)_APE

NFT?數據日報是由Odaily星球日報與?NFT?數據整合平臺NFTGO.io合作的一檔欄目,旨在向NFT愛好者與投資者展示近24小時的NFT市場整體規模、交易活躍度、子領域市占比.

1900/1/1 0:00:00
GMX:2022/4/20 天王加持好禮多重送天降紅包雨_HTT

尊敬的唯客用戶您好! >天王加持好禮多重送< 第四重:天降紅包雨 活動方式: 活動期間每天抽出10位有完成合約交易的用戶隨機送8、18、38、68、88USDT,周一至周五不限幣種.

1900/1/1 0:00:00
TAL:復盤Beanstalk被盜事件:黑客利用閃電貸惡意投票抽空資金_ALKOM價格

作者:茉莉,蜂巢Tech北京時間4月17日晚10時許,去中心化穩定幣協議Beanstalk披露「遭受了攻擊」.

1900/1/1 0:00:00
ads