2022年5月16日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,Ethereum和BNBChain上FEGtoken項目的FEGexPRO合約遭受黑客攻擊,黑客獲利約3280?BNB?以及144ETH,價值約130萬美元。成都鏈安技術團隊對事件進行了分析,結果如下。
事件相關信息
本次攻擊事件包含多筆交易,部分交易信息如下所示:
攻擊交易?(部分)
0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063?(BNBChain)
Pantera Capital在FTX的敞口主要來自對Blockfolio投資:金色財經報道,據Pantera Capital合伙人Paul Veradittakit的一封信,盡管投資組合范圍很廣,但加密投資公司Pantera Capital對加密交易所 FTX 的敞口有限。在Pantera方面,我們在FTX平臺上的風險不大,主要是通過收購我們的投資組合公司Blockfolio而作為股東接觸到FTX。[2022/11/11 12:52:35]
0x1e769a59a5a9dabec0cb7f21a3e346f55ae1972bb18ae5eeacdaa0bc3424abd2?(Ethereum)
攻擊者地址
0x73b359d5da488eb2e97990619976f2f004e9ff7c
攻擊合約
《星際迷航》進取號星艦艦長扮演者William Shatner對以太坊完成合并升級表示支持:金色財經報道,《星際迷航》進取號星艦艦長詹姆斯·T·柯克扮演者William Shatner在社交媒體發文,表達了對以太坊完成合并升級表示支持,他寫道:“恭喜 Vitalik Buterin 和他的團隊,以太坊現在更加環保了。” 此外,威廉·夏特納還是藍色起源公司的“新謝潑德”飛行器第二次載人太空試飛的4名參與者之一。[2022/9/19 7:05:28]
0x9a843bb125a3c03f496cb44653741f2cef82f445
被攻擊合約
0x818e2013dd7d9bf4547aaabf6b617c1262578bc7?(BNBChain)
0xf2bda964ec2d2fcb1610c886ed4831bf58f64948(Ethereum)
比特幣與標普500指數之間的90天相關性回升至0.59:金色財經報道,根據TradingView的數據,比特幣與標準普爾500指數之間的90天相關性回升至0.59,這意味著比特幣與傳統股票之間的聯系,尤其是科技股,再次變得更加緊密。
相關性高于0.5被認為強度中等,高于0.7代表相關性非常強,0.3和-0.3之間代表較弱的相關性。此前6月中旬的拋售導致高風險資產價格暴跌期間,在投資環境惡化的情況下,比特幣與標普500指數的相關性達到0.9,但該值隨后穩步下降,在9月5日跌至0.44。[2022/9/10 13:20:29]
攻擊流程
Ethereum和BNBChain上使用攻擊手法相同,以下分析基于BNBChain上攻擊:
1.攻擊者調用攻擊合約利用閃電貸從DVM合約(0xd534...0dd7)中借貸915.84WBNB,然后將116.81WBNB兌換成115.65fBNB為后續攻擊做準備。
Monero(XMR)預計將于今日進行硬分叉升級:金色財經報道,隱私項目Menero已正式發布GUI 'Fluorine Fermi' v0.18.1.0,旨在為即將到來的硬分叉做準確,本次升級預計將在8月13日完成,主要更新包括將每筆交易的環簽名的簽名者數量將從 11 個增加到 16 個,升級防彈證明Bulletproofs到Bulletproofs +、添加安全補丁等。(coindesk)[2022/8/13 12:22:35]
2.攻擊者利用攻擊合約創建了10個合約,為后續攻擊做準備。
經紀公司Benchmark將嘉楠股票視為對比特幣的間接投資,目標股價為 9 美元:6月9日消息,經紀公司 Benchmark 在一份研究報告中表示,買入比特幣采礦硬件制造商嘉楠(股票代碼:CAN)是投資比特幣增長的一種間接方式,因為它受益于成為“寡頭壟斷比特幣采礦設備行業”的第二大參與者。Benchmark 表示,憑借 4 億美元的現金和一項新的采礦計劃,嘉楠處于周期性反彈的有利位置,此外,1 億美元的股票回購將有助于支持該股度過“當前的加密貨幣寒冬”。Benchmark 對嘉楠做出買入評級,目標股價為 9 美元。
截止周二美股收盤,CAN暫報3.97美元,日漲幅4.2%。(Coindesk)[2022/6/9 4:12:58]
3.攻擊者接下來將兌換得到的fBNB代幣抵押到FEGexPRO合約中。
4.?然后攻擊者重復調用depositInternal和swapToSwap函數,讓FEGexPRO合約授權fBNB給之前創建好的其他攻擊合約。
5.?然后利用其他攻擊合約調用transferFrom函數將FEGexPRO合約中fBNB全部轉移到攻擊合約中。
6.接下來又在LP交易對合約(0x2aa7...6c14)中借貸31,217,683,882,286.007211154FEG代幣和423WBNB。
7.然后重復3、4、5步驟的攻擊手法,將FEGexPRO合約中大量FEG代幣盜取到攻擊合約中。
8.然后歸還閃電貸,將獲得的WBNB轉入攻擊合約中完成此筆攻擊。
9.此后,又利用相同的原理,執行了50余筆相同的攻擊,最獲利約144ETH和3280BNB。
漏洞分析
本次攻擊主要利用了FEGexPRO合約中swapToSwap函數中path地址可控且合約中未對path地址進行有效性校驗的漏洞。由于合約中depositInternal函數中更新用戶余額時依賴于合約中當前代幣余額,攻擊者通過傳入一個惡意的path地址,調用swapToSwap函數時合約中代幣余額并未發生變化,導致攻擊者可以反復重置攻擊合約在FEGexPRO合約中記錄的代幣數量,從而讓FEGexPRO合約將自身代幣反復授權給攻擊者所控制的多個惡意合約。
資金追蹤
截止發文時,被盜資金仍在攻擊者地址中并未轉移。
總結
針對本次事件,成都鏈安技術團隊建議:
項目開發時,應該注意與其他合約交互時可能存在的安全風險,盡量避免將關鍵參數設置為用戶可控。如果業務需求如此,則需要嚴格判斷用戶輸入的參數是否存在風險。此外建議項目上線前選擇專業的安全審計公司進行全面的安全審計,規避安全風險。
上周,新加坡最高法院有史以來第一次發布了禁止出售NFT的禁令。所涉及到的NFT來自著名的無聊猿游艇俱樂部(BAYC)系列,這是一個以太坊區塊鏈上的NFT集合,總銷售額超過160億美元,包括歌手賈.
1900/1/1 0:00:00今年3月,2022年全國兩會在北京召開,各代表委員積極建言獻策。會上,全國政協委員孫潔關于聚焦利用區塊鏈技術推動新就業形態勞務人員社保共治共享的議案引發人們關注.
1900/1/1 0:00:00在推特上每天都有很多關于這個建立在所有權和去中心化前提下的新數字世界的討論內容。我進入加密貨幣有一段時間了,每個人都在熱情地推動這個宏偉的愿景讓我感到驚奇.
1900/1/1 0:00:00我們剛剛見證加密貨幣版“雷曼兄弟”崩盤事件。5月7日至12日短短5天,。Terra公鏈上的算法穩定幣UST完全脫鉤,公鏈代幣LUNA價格下跌近100%直至歸零,高達400多億美元市值灰飛煙滅.
1900/1/1 0:00:00以太坊從工作證明轉向權益證明的時代即將到來。雖然工作證明是完全可靠和安全的,但確保數千個節點達成共識,也還是需要有代價的。工作證明需要大量的計算能力來解決復雜的問題,因此也需要大量的能量.
1900/1/1 0:00:00傳統藝術數字化結合NFT在國內掀起了熱潮,以實物美術作品為基礎鑄造NFT過程中存在諸多法律問題,筆者結合近期處理的實務案件和相關法律規定,就其中所涉法律問題做分享如下.
1900/1/1 0:00:00