比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

Arbitrum公鏈又一項目發生Rug Pull 涉及金額約300萬美元_ARB

Author:

Time:1900/1/1 0:00:00

2022年5月19日,據Beosin-Eagle Eye態勢感知平臺消息,Arbitrum公鏈上項目Swaprum項目疑是發生Rug Pull,涉及金額約300萬美元。

Beosin安全團隊第一時間對事件進行了分析,發現了項目方部署的流動性抵押獎勵池存在后門,項目方(Swaprum: Deployer)利用了add()后門函數盜取了用戶抵押的流動性代幣,以達到移除交易池子的流動性獲利的目的。

事件相關信息

攻擊交易(由于存在大量的攻擊交易,這里僅展示部分)

數據:前ARB最大個人持幣地址于過去9小時內拋售3728枚stETH,仍持有6294枚stETH:6月10日消息,據鏈上數據分析師余燼監測,前 ARB 最大個人持幣地址 boby1337.eth 于過去 9 小時內已通過 CowSwap 將 3728 枚 stETH 兌換為 671 萬枚 USDT,拋售均價為 1802 美元,目前該地址還持有 6294 枚 stETH,約合 1117 萬美元。[2023/6/10 21:27:57]

攻擊者地址

0xf2744e1fe488748e6a550677670265f664d96627(Swaprum: Deployer)

漏洞合約

去中心化交易平臺 SIZE 計劃新增對 Arbitrum 的支持:8月24日消息,由鏈上大宗交易平臺 Integral 推出的去中心化交易平臺 SIZE 計劃新增對 Arbitrum 的支持。[2022/8/24 12:46:01]

0x2b6dec18e8e4def679b2e52e628b14751f2f66bc

(TransparentUpgradeableProxy Contract)

0xcb65D65311838C72e35499Cc4171985c8C47D0FC

(Implementation Contract)

為了方便展示我們以其中兩筆交易為例:

Gearbox Protocol過去24小時銷毀近1800枚ETH:12月17日消息,Gearbox Protocol過去24小時銷毀1797.35枚ETH。

據悉,Gearbox Protocol的目標是將去中心化交易和借貸協議兩個概念結合起來,在DeFi領域中打造一個高效低Gas費、高杠桿抵押率的借貸協議。[2021/12/17 7:45:03]

https://arbiscan.io/tx/0x36fef881f7e9560db466a343e541072a31a07391bcd0b9bcdb6cfe8ae4616fc0(調用add后門函數盜取流動性代幣)

https://arbiscan.io/tx/0xcb64a40d652ff8bfac2e08aa6425ace9c19f0eeb4a6e32f0c425f9f9ea747edf(移除流動性獲利)

動態 | Carbon推出美元穩定幣CarbonUSD的EOS版本:據coindesk消息,Carbon與美元掛鉤的穩定幣CarbonUSD剛剛推出基于EOS平臺上的第一個穩定幣。9月,該公司推出了CarbonUSD的以太坊版本。[2018/11/10]

1. Swaprum項目方(Swaprum: Deployer)通過調用TransparentUpgradeableProxy 合約的add()后門函數盜取用戶質押在TransparentUpgradeableProxy 合約的流動性代幣。

2.通過將實現合約反編譯后,add()函數確實存在后門。該后門函數會將合約中的流動性代幣轉賬給_devadd地址[通過查詢_devadd地址,該地址返回為Swaprum項目方地址(Swaprum: Deployer)]。

3.Swaprum項目方(Swaprum: Deployer)利用第一步盜取的流動性代幣移除流動性代幣從而獲取大量的利益。 

4.值得注意的是,項目方原本的流動性抵押合約并無漏洞,而是通過升級的方式將正常的流動性抵押獎勵合約

(https://arbiscan.io/address/0x99801433f5d7c1360ea978ea18666f7be9b3abf7#code)

替換為了含有后門的流動性抵押獎勵合約

(https://arbiscan.io/address/0xcb65d65311838c72e35499cc4171985c8c47d0fc#code)

本次攻擊主要原因是Swaprum項目方利用了代理合約可切換實現合約的功能,將正常的實現合約切換至存在后門函數的實現合約,從而后門函數盜取了用戶抵押的流動性資產。

截止發文時,Beosin KYT反洗錢分析平臺發現被盜的約1628個ETH(約300萬美金)資金已跨鏈至以太坊上,并且向Tornado Cash存入了1620個ETH。

Beosin

企業專欄

閱讀更多

金色薦讀

金色財經 善歐巴

迪新財訊

Chainlink預言機

區塊律動BlockBeats

白話區塊鏈

金色早8點

Odaily星球日報

Arcane Labs

歐科云鏈

Tags:ARBRUMSWAPAPRarbinu幣今日價格GRUMPYCAT幣CoffeeswapMAPR價格

狗狗幣價格
13個不容錯過的潛在空投項目_BTC

作者:ardizor,加密KOL;翻譯:金色財經0xxz空投成就了百萬富翁,但高昂的鏈上費用卻讓一些人望而卻步。我整理出了13個零成本潛在空投項目。千萬不要錯過.

1900/1/1 0:00:00
金色早報 | 以太坊在24小時內第二次出現性能故障后恢復_BTC

▌以太坊在24小時內第二次出現性能故障后恢復,原因仍正在調查金色財經報道,以太坊區塊鏈在今日凌晨遭遇了一個技術問題,導致網絡停止,最終確定區塊的時間超過一個小時.

1900/1/1 0:00:00
詳解LTC-20協議:發展現狀、優勢與潛在風險_NBS

原文標題:《萊特幣 LTC 20 協議,下一個誕生百倍千倍的投機市場?》 作者:Sammi 西米這兩周 brc 市場爆火,創造了很多暴富神話.

1900/1/1 0:00:00
13條meme coin交易心得_MEM

原文作者:Zeneca,加密研究員最近的幣圈,除了 meme 還是 meme,玩 NFT 的賣猴子去買 PEPE、擼毛的用 Gas、炒幣的賣主流幣去買 PEPE,目前來看.

1900/1/1 0:00:00
項目周刊 | BTC 60天年化波動率第8次降至40%以下_NFT

金色周刊是金色財經推出的一檔每周區塊鏈行業總結欄目,內容涵蓋一周重點新聞、行情與合約數據、礦業信息、項目動態、技術進展等行業動態。本文是項目周刊,帶您一覽本周主流項目以及明星項目的進展.

1900/1/1 0:00:00
Crypto做空大師GCR的30條交易心得_CRY

原文作者:VIKTOR GCR 是一個匿名交易員,他在 2021 年牛市爆紅,因為其對交易走勢似乎了如指掌.

1900/1/1 0:00:00
ads