2022年5月16日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,Ethereum和BNB Chain上FEGtoken項目的FEGexPRO合約遭受黑客攻擊,黑客獲利約3280?BNB?以及144 ETH,價值約130萬美元。成都鏈安技術團隊對事件進行了分析,結果如下。
事件相關信息
本次攻擊事件包含多筆交易,部分交易信息如下所示:
攻擊交易?(部分)
0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063?(BNB Chain)
區塊鏈基礎設施解決方案TradeWindow完成700萬美元戰略股權融資:金色財經報道,區塊鏈基礎設施解決方案TradeWindow已完成一筆700萬的美元戰略股權融資,nChain參投,本次融資交易完成后nChain將持有該公司19.99%的股份。TradeWindow主要提供區塊鏈基礎設施解決方案,包括能源計量、資產跟蹤和跨境支付等,新資金將提升其軟件工程能力,接觸更多的專家開發人員和已經構建的產品并加速Web3轉型。[2023/3/31 13:37:26]
0x1e769a59a5a9dabec0cb7f21a3e346f55ae1972bb18ae5eeacdaa0bc3424abd2?(Ethereum)
攻擊者地址
0x73b359d5da488eb2e97990619976f2f004e9ff7c
去中心化拍賣平臺Bounce V3已上線,引入拍賣即服務產品:2月22日消息,去中心化拍賣平臺Bounce宣布V3正式上線并向公眾開放,該版本引入了拍賣即服務產品,目標是通過提供一個便于操作的插件來增強用戶的能力,該插件可以與用戶的網站無縫集成,從而有效地運行用戶自己的去中心化拍賣,并最大限度地減少用戶干擾。
Bounce V3 提供個人、公司和機構投資者這三種類型的帳戶以滿足不同的需求;Bounce V3 的中心化賬戶管理系統允許用戶使用電子郵件地址或通過 Google、Twitter 和 LinkedIn 注冊和登錄;Bounce V3 的 DeFi 交互和功能包括固定掉期拍賣已在支持以太坊和 BNB Chain 的 Bounce V3 上可用,引入了后悔功能,允許參與者在拍賣過程中隨時下標和撤標,在 Token 部分,用戶可以抵押 AUCTION Token 并通過快照參與 Bounce V3 的治理。
此外,Bounce 表示 2023 年的主要開發路線圖和產品更新包括:拍賣垂直整合、拍賣橫向整合、拍賣創新、推出 Auction web 插件和 Developer SDK。[2023/2/22 12:21:40]
攻擊合約
ETH 2.0總質押數已超1668.82萬:金色財經報道,數據顯示,ETH 2.0總質押數已超1668.82萬,為16688231個,按當前市場價格,價值約280.40億美元。此外,目前ETH 2.0質押總地址數已超53.38萬,為533814個。[2023/2/18 12:14:46]
0x9a843bb125a3c03f496cb44653741f2cef82f445
被攻擊合約(部分)
0x818e2013dd7d9bf4547aaabf6b617c1262578bc7?(BNB Chain)
0xf2bda964ec2d2fcb1610c886ed4831bf58f64948 (Ethereum)
Ethereum和BNB Chain上使用攻擊手法相同,以下分析基于BNB Chain上攻擊:
Dragonfly Capital合伙人:Genesis清算或將迫使DCG破產:金色財經報道,Dragonfly Capital合伙人Haseeb Qureshi在Unchained節目中表示,Genesis債權人可能會要求DCG贖回Genesis價值11億美元的十年期票據,而這將引發DCG的流動性枯竭從而導致其破產。
目前,Genesis債權人長時間的沉默或許意味著其正在給DCG和Genesis時間來解決此問題。[2022/12/12 21:38:36]
1. 攻擊者調用攻擊合約(0x9a84...f445)利用閃電貸從DVM合約(0xd534...0dd7)中借貸915.84 WBNB,然后將116.81 WBNB兌換成115.65 fBNB為后續攻擊做準備。
VanEck CEO:比特幣未來可能漲至25萬美元,但需數十年方能實現:金色財經消息,投資管理巨頭VanEck首席執行官Jan Van Eck認為,一個比特幣的價值可能會飆升至25萬美元,但 100 萬美元的預測可能需要數十年的時間。
Van Eck在最近接受《巴倫周刊》采訪時做出了看漲比特幣價格的預測,但他指出,很難確切地說比特幣價格何時會達到25萬美元。此時正值加密市場陷入熊市之際。他表示,比特幣有進一步升值的潛力,因為它是一種不斷成熟的資產。
Van Eck還稱,投資者應將最多 3% 的投資組合分配給 BTC,同時透露他的比特幣敞口較高,因為他對該資產有堅定的信念。自 2019 年以來,這位首席執行官還擁有以太坊,并表示擁有多元化的投資組合是明智的。(Crypto Potato)[2022/6/10 4:16:47]
2. 攻擊者利用攻擊合約創建了10個合約,為后續攻擊做準備。
3. 攻擊者接下來將兌換得到的fBNB代幣抵押到FEGexPRO合約(0x818e...8bc7)中。
4. ?然后攻擊者重復調用depositInternal和swapToSwap函數,讓FEGexPRO合約授權fBNB給之前創建好的其他攻擊合約。
5. ?然后利用其他攻擊合約調用transferFrom函數將FEGexPRO合約中fBNB全部轉移到攻擊合約(0x9a84...f445)中。
6. 接下來又在LP交易對合約(0x2aa7...6c14)中借貸31,217,683,882,286.007211154 FEG代幣和423 WBNB。
7. 然后重復3、4、5步驟的攻擊手法,將FEGexPRO合約中大量FEG代幣盜取到攻擊合約中。
8. 然后歸還閃電貸,將獲得的WBNB轉入攻擊合約中完成此筆攻擊。
9. 此后,又利用相同的原理,執行了50余筆相同的攻擊,最獲利約144 ETH和3280 BNB。
本次攻擊主要利用了FEGexPRO合約中swapToSwap函數中path地址可控且合約中未對path地址進行有效性校驗的漏洞。由于合約中depositInternal函數中更新用戶余額時依賴于合約中當前代幣余額,攻擊者通過傳入一個惡意的path地址,調用swapToSwap函數時合約中代幣余額并未發生變化,導致攻擊者可以反復重置攻擊合約在FEGexPRO合約中記錄的代幣數量,從而讓FEGexPRO合約將自身代幣反復授權給攻擊者所控制的多個惡意合約。
截止發文時,被盜資金仍在攻擊者地址(0x73b3...ff7c)中并未轉移。
針對本次事件,成都鏈安技術團隊建議:
項目開發時,應該注意與其他合約交互時可能存在的安全風險,盡量避免將關鍵參數設置為用戶可控。如果業務需求如此,則需要嚴格判斷用戶輸入的參數是否存在風險。此外建議項目上線前選擇專業的安全審計公司進行全面的安全審計,規避安全風險。
“幣圈崩了”又上熱搜。近日,虛擬貨幣市場遭遇一場“大洗劫”。首先是有“幣圈茅臺”之稱的LUNA幣狂瀉逾99%,自5月11日起,從30美元上方,跌至5月14晚間的0.0003美元左右,近乎歸零.
1900/1/1 0:00:00頭條 ▌Do Kwon:重建Terra網絡提案現已開啟投票5月18日消息,Terra創始人Do Kwon發推稱,Terra治理提案#1623現已上線.
1900/1/1 0:00:00在這個困難時期給我們的投資組合家庭、投資者和加密貨幣領域的朋友的一封信,我們站在一起,我們一起相信明天會更好.
1900/1/1 0:00:00即便是最自信的人,加密貨幣也總能挫一挫他們的信心,而這個市場絕對不適合膽小的人。非同質化代幣(NFT)投資者似乎進入了熊市,最近的混亂也影響了社區的士氣.
1900/1/1 0:00:00NFT全稱為非同質化通證,是區塊鏈上的數字通證,每個通證都擁有獨特的標的物,比如數字藝術品、特殊的游戲物品、稀有的卡牌藏品或任何其他獨一無二的數字/實物資產.
1900/1/1 0:00:00這是一種新的互聯網原生媒體共享故事,我們共享的社交體驗日益虛擬化的特性將在未來幾十年內增加 Virtual beings(虛擬人)的數量.
1900/1/1 0:00:00