2023年7月30日晚,多個項目迎來至暗時刻。
7 月 30 日 21:35左右,據Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,NFT 借貸協議JPEG'd項目遭遇攻擊。
在Beosin安全團隊正在分析之時,又有幾個項目接連受損。
7 月 30 日 22:51左右,msETH-ETH池子被黑客突襲。
7 月 30 日 23:35左右,alETH-ETH 池子被同樣的攻擊方式破解。
緊接著,DeFi項目Alchemix、Metronome 項目歸屬的流動性池子相繼遭遇攻擊。
同一個攻擊方式,被黑客多次利用,到底是哪里出了問題?
根據7 月 31 日凌晨以太坊編程語言 Vyper 發推表示,Vyper 0.2.15、0.2.16 和 0.3.0 版本有重入鎖有漏洞,加上原生的ETH可以在轉賬時調callback,導致這幾個和ETH組的lp池子可以被重入攻擊。
Three Arrows Capital錢包地址今日從多個交易平臺地址轉入14,833枚ETH:12月14日消息,據鏈上數據工具 Nansen 顯示,標記為Three Arrows Capital的錢包地址“0x4862733b5fddfd35f35ea8ccf08f5045e57388b3”今日從 Coinbase 以及 Binance 交易平臺地址轉入 14,833 枚 ETH“約合 5640 萬美元”。[2021/12/14 7:38:35]
接著Curve官方推特發文表示,由于重入鎖出現故障,許多使用 Vyper 0.2.15 的穩定幣池 (alETH/msETH/pETH) 遭到攻擊,但其他池子是安全的。
以下為本次黑客攻擊事件涉及的相關交易
BiKi平臺多個幣種今日漲幅超過40%:據BiKi行情數據顯示,截至今日20:00(GMT+8),平臺內多個幣種今日漲幅超過40%。AOS今日漲幅為277.91%,現價為0.0378USDT;WEN今日漲幅為99.99%,現價為0.12USDT;API今日漲幅為84.26%,現價為0.0011USDT;DDMX今日漲幅為44.93%,現價為0.012USDT ;BXTB今日漲幅為41.8%,現價為0.0709USDT。
行情波動較大,請注意風險控制。[2020/4/15]
●攻擊交易
0xc93eb238ff42632525e990119d3edc7775299a70b56e54d83ec4f53736400964 0xb676d789bb8b66a08105c844a49c2bcffb400e5c1cfabd4bc30cca4bff3c9801
0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c
0x2e7dc8b2fb7e25fd00ed9565dcc0ad4546363171d5e00f196d48103983ae477c
行情 | 今日多個幣種暴跌 MATIC跌近60%:自今晨6時起多個幣種出現大幅下跌,截止11:00,MATIC跌幅57.94%、RVN跌幅18.63%、ONE跌幅17.96%、DUSK跌幅17.46%、FET跌幅16.04%。MATIC、ONE、RVN 最近24小時在BitMax(BTMX.COM)杠桿交易非常活躍。[2019/12/10]
0xcd99fadd7e28a42a063e07d9d86f67c88e10a7afe5921bd28cd1124924ae2052
●攻擊者地址
0xC0ffeEBABE5D496B2DDE509f9fa189C25cF29671
0xdce5d6b41c32f578f875efffc0d422c57a75d7d8
0x6Ec21d1868743a44318c3C259a6d4953F9978538
0xb752DeF3a1fDEd45d6c4b9F4A8F18E645b41b324
聲音 | 中國銀行業協會副秘書長:區塊鏈技術可以幫助銀行解決多個供應鏈金融難題:據新華網報道,中國銀行業協會副秘書長白瑞明說,區塊鏈技術可以解決銀行對核心企業二級以下供應商和經銷商難以穿透的問題;可以幫助核實核心企業的供應鏈采購信息與銷售信息;解決銀行不能看到線上商流與線下物流信息的難題。[2019/4/4]
●被攻擊合約
0xc897b98272AA23714464Ea2A0Bd5180f1B8C0025
0xC4C319E2D4d66CcA4464C0c2B32c9Bd23ebe784e
0x9848482da3Ee3076165ce6497eDA906E66bB85C5
0x8301AE4fc9c624d1D396cbDAa1ed877821D7C511
根據Beosin安全團隊的分析,本次攻擊主要是源于是Vyper 0.2.15的防重入鎖失效,攻擊者在調用相關流動性池子的remove_liquidity函數移除流動性時通過重入add_liquidity函數添加流動性,由于余額更新在重入進add_liquidity函數之前,導致價格計算出現錯誤。
聲音 | BM:未來任何擁有數據庫和多個用戶的業務都將受益于區塊鏈技術:據引力觀察消息,在EOS全球黑客馬拉松總決賽上有現場觀眾提問:“你認為未來哪些商業會使用區塊鏈?”BM通過視頻連線回答:任何擁有數據庫和多個用戶的業務都將受益于區塊鏈技術,區塊鏈將和SQL數據庫一樣流行。[2018/12/8]
黑客攻擊準備階段,首先通過balancer:Vault閃電貸借出10,000枚ETH作為攻擊資金。
1. 第一步,攻擊者調用add_liquidity函數將閃電貸借入的5000ETH添加進池子中。
2.第二步,隨后攻擊者調用remove_liquidity函數移除池子中的ETH流動性時再次重入進add_liquidity函數添加流動性。
3. 第三步,由于余額更新在重入進add_liquidity函數之前,導致價格計算出現錯誤。值得注意的是remove_liquidity函數和add_liquidity函數已經使用了防重入鎖防止重入。
4.因此這里防重入存在并未生效,通過閱讀如下圖所示的左邊存在漏洞的Vyper代碼可以發現當重入鎖的名稱第二次出現的時候,storage_slot原有數量會加1。換而言之,第一次獲取鎖的slot為0,但是再次有函數使用鎖后slot變為1,重入鎖此時已經失效。
https://github.com/vyperlang/vyper/commit/eae0eaf86eb462746e4867352126f6c1dd43302f
截止發文時,本次攻擊事件損失的資金已超5900W美元,Beosin KYT監測到目前c0ffeebabe.eth地址已歸還2879個ETH,被盜資金仍在多個攻擊者地址上。
關于本次事件造成的影響,7月31日消息,幣安創始人趙長鵬CZ發推稱,CEX喂價拯救了DeFi。幣安用戶不受影響。幣安團隊已檢查Vyper可重入漏洞。幣安只使用0.3.7或以上版本。保持最新的代碼庫、應用程序和操作系統非常重要。
7月31日消息,Curve 發推稱,由于版本 0.2.15-0.3.0 中的 Vyper 編譯器存在問題,CRV/ETH、alETH/ETH、msETH/ETH、pETH/ETH 被黑客攻擊。此外,Arbitrum Tricrypto 池也可能會受影響,審計人員和 Vyper 開發人員暫未找到可攻擊漏洞,但請退出使用。
可以看到本次事件造成的影響依然沒有結束,這些池子有資金的用戶還需要多加注意。
針對本次事件,Beosin安全團隊建議:當前使用Vyper 0.2.15、0.2.16和0.3.0版本的重入鎖均存在失效的問題,建議相關項目方進行自查。項目上線后,強烈建議項目方仍然關注第三方組件/依賴庫的漏洞披露信息,及時規避安全風險。
Beosin
企業專欄
閱讀更多
Foresight News
金色財經 Jason.
白話區塊鏈
金色早8點
LD Capital
-R3PO
MarsBit
深潮TechFlow
作者:Nicholas Morgan,Decrypt;編譯:bayemon.eth, ChainCatcher比特幣 ETF 競賽正在進行.
1900/1/1 0:00:00昨夜開始,Curve 因受 Vyper 個別版本的重入鎖故障影響,導致旗下 alETH/msETH/pETH 等穩定池被黑客攻擊,由此引發一系列的 DeFi 次生災害與加密世界震蕩.
1900/1/1 0:00:007月30日,開云集團旗下品牌Gucci本周在合作伙伴平臺「10KTF」上推出了實物兌換功能,1 個「Gucci Vault Material NFT」可以兌換1個Gucci錢包.
1900/1/1 0:00:00來源:Coindesk;編譯:比推BitpushNews Mary Liu在剛剛過去的周末,去中心化金融(DeFi)因幾個主流平臺遭受的一系列攻擊而陷入困境.
1900/1/1 0:00:00作者:MARTIN YOUNG,COINTELEGRAPH;編譯:松雪,金色財經破產的加密貨幣交易所 FTX 和加密貨幣貸款機構 Genesis 已原則上達成協議.
1900/1/1 0:00:00近期美國國會正在對多項加密貨幣相關法案進行投票,這些法案能夠大大提升行業監管的清晰度,相關法案如果順利通過可能成為數字資產行業監管法規化的里程碑.
1900/1/1 0:00:00