一、前言
北京時間2022年3月21日,知道創宇區塊鏈安全實驗室監測到BSC鏈和以太坊上的UmbNetwork獎勵池遭到黑客攻擊,損失約70萬美元。實驗室第一時間對本次事件進行跟蹤并分析。
二、基礎信息
攻擊者地址:0x1751e3e1aaf1a3e7b973c889b7531f43fc59f7d0
動態 | Bithumb與BitMax合作建立區塊鏈基礎架構:2月19日消息,韓國加密貨幣交易所Bithumb已與總部位于新加坡的數字資產交易平臺BitMax建立戰略合作伙伴關系,以合作開發服務和產品。兩家交易所已與之簽署了諒解備忘錄(MoU),并將專注于通過協作服務來推動全球競爭。(同花順)[2020/2/19]
攻擊合約:0x89767960b76b009416bc7ff4a4b79051eed0a9ee
StakingRewards合約:0xB3FB1D01B07A706736Ca175f827e4F56021b85dE
動態 | 新加坡BK財團對于Bithumb的收購款支付可能推遲至9月末:據tokenpost消息,新加坡BK財團董事長金炳郡表示:“對于韓國加密貨幣交易所Bithumb的收購款支付可能從3月末推遲到9月末。”據悉,BK財團到目前為止只支付了8000萬美元,約為收購金的20%。據韓國媒體分析,近日Bithumb交易所被盜可能是延期付款的原因。[2019/4/1]
以太坊交易哈希:0x33479bcfbc792aa0f8103ab0d7a3784788b5b0e1467c81ffbed1b7682660b4fa
BTG上線韓國最大火幣交易所Bithumb 漲幅達到180%:下午2點BTG上線韓國最大交易所Bithumb,漲幅達到180%。BTG在今日上午9時開始跳漲,現全球均價¥2425,24小時漲幅47.87%。BTG韓國下一個上線平臺Korbit.co.kr。[2017/11/24]
BSC交易哈希:0x784b68dc7d06ee181f3127d5eb5331850b5e690cc63dd099cd7b8dc863204bf6
三、漏洞分析
此次事件,漏洞關鍵在于UmbNetwork獎勵池的StakingRewards合約中的_balance函數出現溢出漏洞,合約未校驗檢查balance的值,攻擊者通過amount發起下溢攻擊,抽空了池子中的代幣。
從合約代碼我們可以看出,合約未正確使用SafeMath安全庫且未作溢出檢查,導致此次攻擊發生。
四、攻擊流程
攻擊者從BSC鏈發起攻擊獲取156枚pancake-LP代幣:
攻擊者在以太坊上發起攻擊獲取8792枚UNI-V2代幣:
隨后攻擊者分別將代幣轉分別換成ETH、UMB和BNB,獲利約70萬美元。
五、分析
本次攻擊事件核心是由于合約未正確使用SafeMath庫并且未對合約進行溢出檢查導致合約出現溢出漏洞,而導致了此次事件的發生,建議項目方多加注意檢查合約是否正確使用各類安全庫。
近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
Tags:UMBBITBithumbITHBumblebeeBitcoin Regularbithumb交易所中文名Friends With Benefits Pro
格林納達常駐世界貿易組織代表、特命全權大使、波場TRON創始人孫宇晨先生閣下受邀參與的紀錄片《AligningTheFuture》中英字幕完整版已正式上線.
1900/1/1 0:00:00●AAX與專業的預言機解決方案PythNetwork達成合作●PythNetwork合作伙伴關系至關重要.
1900/1/1 0:00:00一、Stargaze是什么Stargaze是一條由CosmosSDK開發的服務于NFT的zone,即是CosmosEcosystem上的一個去中心化的NFT市場.
1900/1/1 0:00:00“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.
1900/1/1 0:00:00市場觀點 宏觀流動性 貨幣流動性更趨緊張。周四美聯儲主席鮑威爾稱5月會議將加息50BP,并確認了市場多次加息50BP的預期.
1900/1/1 0:00:00格林納達常駐世界貿易組織代表、特命全權大使、波場TRON創始人孫宇晨先生閣下受邀參與的紀錄片《AligningTheFuture》中英字幕完整版已正式上線.
1900/1/1 0:00:00