2022年4月17日,算法穩定幣項目Beanstalk DAO遭受黑客攻擊,損失已達1.82億美元,包括7900多萬BEAN3CRV-f、163萬BEANLUSD-f、3600萬BEAN和0.54個UNI-V2_WETH_BEAN。啟動入侵的初始資金已被撤回至Synapse Protocol,且大部分收益都被存入Tornado.cash。目前,該項目穩定幣BEAN價格已經從約1美元跌至0.136美元,跌幅達86%。
BeanStalk是一個分散的基于信用的穩定幣協議。該協議由三個相互連接的組件組成:去中心化價格預言機、去中心化治理系統和去中心化信貸工具。根據該項目的白皮書介紹,BeanStalk使用動態掛鉤維護機制,定期將1Bean(Beanstalk ERC-20標準穩定幣)的價格超過其價值掛鉤,而無需集中化或抵押要求。
Immunefi:今年第一季度DeFi黑客攻擊總額超12億美元:金色財經報道,根據DeFi漏洞賞金平臺Immunefi的數據,與去年第一季度相比,針對去中心化金融協議的黑客攻擊增加了近八倍。僅在今年第一季度,就有超過12.2億美元被確定為被盜或因新興協議而被盜用。Immunefi季度加密貨幣損失報告的研究顯示,與2021年同期約1.546億美元的被盜資金相比,這增加了7.9倍。根據咨詢公司Cyber??securityVentures的數據,到2022年,整個網絡犯罪將給全世界造成約6.9萬億美元的損失。因此,即使DeFi在年底前凈利用35億美元,也將占全球網絡犯罪總量的0.05%。(blockworks)[2022/7/14 2:13:37]
此次攻擊事件距離Axie Infinity 遭到黑客攻擊損失6.25億美元還不到一個月時間,Beanstalk受到了巨大的損失。這次的黑客攻擊或源于前一天通過的BIP18,BIP18導致使用治理特權來抽干資金池的精心設計的代碼來執行,黑客利用了Beanstalk的“投票合約中的票數是根據賬戶中的代幣持有量來得到的”這一閃電貸漏洞完成了這次的攻擊,并將獲利的部分USDC轉入了烏克蘭加密捐贈地址。
StoboxCompany遭遇黑客攻擊,Token跌幅96.93%:1 月 7 日,據PeckShieldAlert消息,數字資產服務商 StoboxCompany 遭遇黑客攻擊,其官方表示私鑰已泄露,目前其 Token 跌幅 96.93%。
StoboxCompany 官方表示,Stobox Token 的部署者地址被黑客入侵,由于 ETH 和 BSC 的部署者地址相同,因此所有儲備資金都已被盜或清算。提醒用戶停止購買/出售,官方將把 STBU 快照恢復到黑客攻擊前的最后一筆交易。[2022/1/7 8:31:28]
下面Armors Company Limited來具體分析一下黑客的攻擊過程。
智能DeFi收益聚合器BT.Finance遭受黑客攻擊:官方消息,智能DeFi收益聚合器BT.Finance遭受黑客攻擊,暫時停止了向Curve.fi存款,以防止再次攻擊。受攻擊的策略包括ETH,USDC和USDT,其他策略不受影響。BT.Finance表示,有用于保險和賠償的管理資金。為了投資者和DeFi的良好發展,BT.Finance希望黑客能夠將資金歸還。BT.Finance將使用BT感謝其Bug測試。此外,BT.Finance提款費用保護使這次攻擊的損失減少了近140,000美元。[2021/2/9 19:19:05]
黑客從攻擊的前一天發起了交易提案,提案通過以后將會從Beanstalk: Beanstalk Protocol合約中提取資金。首先黑客通過閃電貸換取了3.5億個DAI、5億個USDC、1.5億個USDT、3200萬個BEAN和1100萬個LUSD作為資金儲備。再將這些資金在Curve.fi 對應交易對的交易池中添加為3Crv流動性代幣,總量達到9.8億個。接著用1500萬個3Crv兌換成LUSD。又將3Crv代幣兌換為BEAN3CRV-f用于投票,把3200萬個BEAN和近2700萬個LUSD添加流動性,這樣就成功得到5900萬個BEANLUSD-f流動性代幣。
動態 | EOS Royale游戲遭受黑客攻擊,黑客目前共獲利18000eos:Beosin(成都鏈安)態勢感知系統報警:今日下午13:30左右,EOS Royale游戲遭受黑客攻擊,黑客目前共獲利18000eos左右,已聯系項目方未得到回應。[2019/8/4]
接著,黑客用BEAN3CRV-f和BEANLUSD-f來對提案發起投票,然后調用emergencyCommit進行緊急提交來執行提案,從而導致提案通過。經過以上一系列的操作,3600萬個BEAN、8.75億個BEAN3CRV-f、6000萬個BEANLUSD-f以及0.54個UNI-V2,通過Beanstalk: Beanstalk Protocol合約轉入了攻擊合約。最后黑客將流動性移除并歸還閃電貸,把多余的代幣兌換為近2.5萬個ETH持續轉移至Tornado.Cash。
交易詳細信息如圖所示:
ETH被分批發送到 Tornado.Cash :
Armors安全在此提醒:
首先,還是要對項目代碼的安全審計提高重視,建議找行業內正規的安全公司進行全方位的代碼審計,并定期檢查更新,可使用實時的安全監測服務,避免出現安全風險。其次,項目方應避免使用賬戶的當前資金余額來統計投票數量,投票所用資金應在合約中設定鎖定時間,避免出現可能的反復投票或使用閃電貸進行投票。對于惡意提案,項目方和社區應提高關注度及警惕性,可考慮禁止合約地址參與投票,并設立預警機制,對于惡意提案,需及時作出預警和處理,禁止惡意提案的投票通過和執行。
Armors安全機構成立于2017年,是行業最早成立的專業區塊鏈安全機構之一。Armors是Polygon、BSC、Ethereum、Solana等公鏈審計合作伙伴,已為超過2000家區塊鏈平臺、交易所、錢包、DApp等機構和項目提供安全審計、滲透測試、跨鏈遷移、平臺安全等各方面保障及服務。成立以來,Armors已為客戶挽回超過32000個BTC的資產損失。
摘要 上期分享OTC交易收到贓款容易成為刑事打擊的對象、“幫信罪”與“掩隱罪”在理論上的區分等內容.
1900/1/1 0:00:004月11日,ERC721R代幣標準正式發布。該標準在NFT智能合約中增加了去信任的退款設計,允許鑄造者在給定的期限內退還按成本鑄造的NFT,并獲得相應退款.
1900/1/1 0:00:00去中心化的前景被人們大量討論及反復辯論,從它為什么重要到誰將控制驅動互聯網的軟件這一更大的問題.
1900/1/1 0:00:002022年2月24日,俄烏沖突爆發,并迅速發展為第二次世界大戰以來歐洲最大規模戰爭。與此同時,烏克蘭中央銀行暫停了電子現金轉賬,自動取款機也無法再使用.
1900/1/1 0:00:00歐易OKX Blockdream Ventures 長期致力于推動加密生態系統的繁榮,已投資數百個項目,涵蓋NFT、GameFi、DeFi、Layer2、Web3.0等核心賽道.
1900/1/1 0:00:00原文標題:《 Service DAOs - Landscape, Challenges, and Solutions 》盡管傳統公司向咨詢公司尋求建議.
1900/1/1 0:00:00