比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

RUM:Arbitrum公鏈又一項目發生Rug Pull 涉及金額約300萬美元_ARBI幣

Author:

Time:1900/1/1 0:00:00

2022年5月19日,據Beosin-Eagle Eye態勢感知平臺消息,Arbitrum公鏈上項目Swaprum項目疑是發生Rug Pull,涉及金額約300萬美元。

Beosin安全團隊第一時間對事件進行了分析,發現了項目方部署的流動性抵押獎勵池存在后門,項目方(Swaprum: Deployer)利用了add()后門函數盜取了用戶抵押的流動性代幣,以達到移除交易池子的流動性獲利的目的。

事件相關信息

攻擊交易(由于存在大量的攻擊交易,這里僅展示部分)

數據:參與StarkNet橋接交易的用戶量超越Arbitrum,達66萬個:8月10日消息,Dune數據顯示,參與StarkNet橋接交易的用戶量超越Arbitrum,達660,738個,而Arbitrum為660,104個。同時Arbitrum的ETH總跨鏈橋接數量約27.44萬枚,StarkNet為19.59萬枚。[2023/8/10 16:17:01]

攻擊者地址

0xf2744e1fe488748e6a550677670265f664d96627(Swaprum: Deployer)

漏洞合約

0x2b6dec18e8e4def679b2e52e628b14751f2f66bc

Arbitrum宣布空投后,zkSync 與 StarkNet 上日活用戶數大幅增長:3月20日消息,Web3知識圖譜協議0xScope發推稱,在Arbitrum宣布將進行空投之后,zkSync與StarkNet上日活用戶數均增長了約 10 倍。

據Dune數據顯示,昨日共有17,012筆交易將2237.6枚ETH橋接至zkSync,共有8572筆交易將858.5枚ETH橋接至StarkNet,跨鏈橋接ETH至zkSync與StarkNet網絡的筆數均創單日歷史新高。[2023/3/20 13:15:01]

(TransparentUpgradeableProxy Contract)

0xcb65D65311838C72e35499Cc4171985c8C47D0FC

Offchain Labs為Arbitrum One托管的API將從6月3日開始不再包含websocket:5月28日消息,Arbitrum發推稱,Offchain Labs為Arbitrum One托管的API將從6月3日開始不再包含websocket,不過公共RPC仍然可供使用。若要繼續連接應用至ArbitrumOne,可以參考Alchemy和Ankr等服務。[2022/5/28 3:47:08]

(Implementation Contract)

為了方便展示我們以其中兩筆交易為例:

https://arbiscan.io/tx/0x36fef881f7e9560db466a343e541072a31a07391bcd0b9bcdb6cfe8ae4616fc0(調用add后門函數盜取流動性代幣)

iZUMi Finance 上線Arbitrum,Arbitrum鏈上TVL 24小時內突破1600萬美元:3月29日消息,在推出Arbitrum版本后,iZUMi Finance在Arbitrum上的TVL僅在24小時內便突破1600萬美元。

同時,iZUMi Finance已經與去中心化流動性管理協議Yin Finance和去中心化衍生品交易平臺ApeX Protocol達成合作,開啟聯合雙挖。此前,iZUMi Finance產品已經實現在以太坊和Polygon的平穩運行。[2022/3/29 14:25:21]

https://arbiscan.io/tx/0xcb64a40d652ff8bfac2e08aa6425ace9c19f0eeb4a6e32f0c425f9f9ea747edf(移除流動性獲利)

1. Swaprum項目方(Swaprum: Deployer)通過調用TransparentUpgradeableProxy 合約的add()后門函數盜取用戶質押在TransparentUpgradeableProxy 合約的流動性代幣。

2.通過將實現合約反編譯后,add()函數確實存在后門。該后門函數會將合約中的流動性代幣轉賬給_devadd地址[通過查詢_devadd地址,該地址返回為Swaprum項目方地址(Swaprum: Deployer)]。

3.Swaprum項目方(Swaprum: Deployer)利用第一步盜取的流動性代幣移除流動性代幣從而獲取大量的利益。 

4.值得注意的是,項目方原本的流動性抵押合約并無漏洞,而是通過升級的方式將正常的流動性抵押獎勵合約

(https://arbiscan.io/address/0x99801433f5d7c1360ea978ea18666f7be9b3abf7#code)

替換為了含有后門的流動性抵押獎勵合約

(https://arbiscan.io/address/0xcb65d65311838c72e35499cc4171985c8c47d0fc#code)

本次攻擊主要原因是Swaprum項目方利用了代理合約可切換實現合約的功能,將正常的實現合約切換至存在后門函數的實現合約,從而后門函數盜取了用戶抵押的流動性資產。

截止發文時,Beosin KYT反洗錢分析平臺發現被盜的約1628個ETH(約300萬美金)資金已跨鏈至以太坊上,并且向Tornado Cash存入了1620個ETH。

Beosin

企業專欄

閱讀更多

金色薦讀

金色財經 善歐巴

迪新財訊

Chainlink預言機

區塊律動BlockBeats

白話區塊鏈

金色早8點

Odaily星球日報

Arcane Labs

歐科云鏈

Tags:RUMARBARBIRBIEtherum代幣瀏覽器gearbox幣持續走低ARBI幣RBIZ幣

pepe最新價格
EFI:CeFi暴雷后必修課:測評八款實用型錢包_PINETWORKDEFI幣

交易所頻繁暴雷,也警示我們重視資產安全性,學會正確使用數字錢包已是參與Web3必備技能之一。FTX事件后,市場恐慌情緒持續蔓延,短期內行業受到較大的沖擊.

1900/1/1 0:00:00
數字貨幣:紅棗科技何亦凡:數字貨幣和身份認證是分布式技術的基礎應用_ZCore

為方便閱讀,文字略有刪減整理如下:BSN的核心理念,是在互聯網上推動建立一個新的公共層,與目前只能有效服務于中心化應用的互聯網平行,為各行各業、各種類型的分布式應用提供服務.

1900/1/1 0:00:00
ROLL:AltLayer:欺詐證明如何實現無信任的跨域信息傳遞?_以太坊

在過去的幾年里,區塊鏈專家和愛好者們一直在討論側鏈、Rollup和L2之間的區別。核心爭論是,一個系統只有在從底層L1“獲得安全性”時,才能被稱為L2或Rollup.

1900/1/1 0:00:00
FLY:ERC 6551會給鏈上游戲帶來哪些用例_ITF

作者:Jonah,Game Fund Partners合伙人;翻譯:金色財經0xxz本周對于鏈上游戲來說是意義重大的一周.

1900/1/1 0:00:00
區塊鏈:全鏈游戲面面觀:空中樓閣還是沙漠綠洲?_區塊鏈騙了多少人

在加密世界中,GameFi 正經歷低谷,人們對其關注度有所減少。然而,近期全鏈游戲的概念開始引起更多關注和討論,似乎帶來了一絲新生.

1900/1/1 0:00:00
比特幣:比特幣錢包地址格式有哪幾種?哪種可以節省手續費?_EWIT幣

在加密世界里,錢包地址就像 “銀行卡賬號”、“收件地址”一樣重要,任何操作都離不開它,隨著Ordinals 協議的誕生,推動了比特幣基于隔離見證、Taproot升級的采用.

1900/1/1 0:00:00
ads