比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

黑客獲利超700萬美元 Op鏈上Exactly Protocol遭黑客攻擊事件分析_EOS

Author:

Time:1900/1/1 0:00:00

2023年8月18日,據Beosin-Eagle Eye態勢感知平臺消息,Optimism鏈的DeFi借貸協議Exactly Protocol遭受黑客攻擊,黑客獲利超700萬美元。

攻擊發生之后,Exactly Protocol在社交媒體上表示,正在嘗試與攻擊者溝通,以歸還被盜資產,已向提交報告。

三天之后的8月21日,Exactly Protocol發文表示協議現已解除,用戶可以執行所有操作,也沒有發生任何清算。為了明確起見,黑客攻擊只影響到使用外圍合約(DebtManager)的用戶。沒有使用該合約的用戶沒有任何損失,協議仍在正常運行。 

Beosin安全團隊第一時間對本次事件進行了分析,結果如下。

事件相關信息

●攻擊交易

安全團隊:SNK項目遭受攻擊,黑客獲利約19萬美元:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,SNK項目遭受攻擊(0x7394f2520ff4e913321dd78f67dd84483e396eb7a25cbb02e06fe875fc47013a),黑客利用SNK的邀請獎勵機制獲利19萬美元,目前資金仍在黑客地址中0x7738B2f18d994C7c8Fa10E1FE456069624740f3e,Beosin Trace將持續對資金流向進行監控。[2023/5/10 14:54:01]

0x3d6367de5c191204b44b8a5cf975f257472087a9aadc59b5d744ffdef33a520e

0x1526acfb7062090bd5fed1b3821d1691c87f6c4fb294f56b5b921f0edf0cfad6

安全團隊:WEEB遭受閃電貸攻擊,黑客獲利約16ETH:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,WEEB項目遭受價格操控攻擊(0xcb58fb952914896b35d909136b9f719b71fc8bc60b59853459fc2476d4369c3a),黑客利用WEEB代幣中的performUpkeep函數,將pair中大量WEEB代幣的余額燒毀,從而提高WEEB價格,獲利16ETH。目前資金仍在黑客地址中(0xe9ba23db4cab47621d72b7a51ef166992a025b16),Beosin Trace將持續對資金流向進行監控。[2023/5/10 14:53:59]

0xe8999fb57684856d637504f1f0082b69a3f7b34dd4e7597bea376c9466813585

安全團隊:BNBChain上加密項目ORT被利用,黑客獲利約7萬美元:金色財經報道,據區塊鏈安全審計公司Beosin監測顯示,BNBChain上的加密項目ORT被利用,黑客獲利約7萬美元。

其中黑客首先調用INVEST函數,這個函數會調用_Check_reward函數來計算用戶的獎勵,但是黑客的duration變量為0,所以會直接返回total_percent變量作為reward參數,然后黑客調用withdraw And Claim函數提取獎勵,獲取total_percent數量的ORT代幣,重復上述步驟獲利。[2023/1/17 11:16:00]

●攻擊者地址

0x3747dbbcb5c07786a4c59883e473a2e38f571af9

●攻擊合約

0x6dd61c69415c8ecab3fefd80d079435ead1a5b4d

Rari Capital在Fuse上的資金池遭到攻擊,黑客獲利近8000萬美元:4月30日消息,Rari Capital在Fuse上的資金池遭到攻擊,黑客獲利近8000萬美元。算法穩定幣協議Fei Protocol表示如果黑客愿意歸還被盜資金,愿意提供1000萬美元賞金。[2022/4/30 2:42:33]

0x995a24c99ea2fd6c87421d516216d9bdc7fa72b4

●被攻擊合約

0x16748cb753a68329ca2117a7647aa590317ebf41

漏洞分析

漏洞合約中的多個Market地址參數可被操控。攻擊者通過傳入惡意的Market合約地址,成功繞過permit檢查,執行了惡意的deposit函數,竊取了用戶的抵押品USDC并清算用戶資產,最終實現了攻擊者的盈利目的。

派盾:Deus Finance再次遭到攻擊,黑客獲利約1340萬美元:金色財經消息,派盾(PeckShield)在Twitter上表示,多鏈衍生品協議Deus Finance目前被監控到在Fantom網絡上遭黑客攻擊,黑客獲利約1340萬美元。

此前3月15日報道,派盾在社交媒體上提醒,Deus Finance目前被監控到在Fantom網絡上遭黑客攻擊,黑客共計盜走20萬枚DAI和1101.8枚ETH。[2022/4/28 2:36:36]

攻擊流程

我們以0x3d6367…這筆交易為例

攻擊準備階段:

1.攻擊者創建了多個惡意Market合約

攻擊階段

1.攻擊者調用漏洞合約的leverage函數(杠杠函數)傳入偽造的market合約地址,由于market地址未校驗合法性,permit檢查被繞過并將_msgSender更改為受害者地址,這里為步驟3竊取受害者資產做了準備。

2.leverage函數會繼續調用惡意market合約中的deposit函數,進而執行攻擊者的惡意代碼

3.deposit函數中的惡意代碼會先創建一個V3 惡意token/USDC的池子,然后再重入進漏洞合約的crossDeleverage函數。由于marketIn和marketOut同樣可控,導致crossDeleverage函數計算的V3池子最終為攻擊者創建的V3池子。

4.此時由于_msgSender已經修改為了受害者,crossDeleverage函數進一步調用攻擊者創建的V3池子的swap函數用作閃電貸,并在回調函數uniswapV3callback中將受害者的資金轉入至V3池子中。

5.攻擊者移除流動性將受害者資金從V3池子中竊取出來。

6.由于受害者抵押資金被轉走,滿足清算條件,攻擊者進一步清算了受害者的頭寸而獲得了更多的收益。

資金追蹤

截止發文時,被盜資金已通過Optimism bridge和Across Protoco跨鏈至以太坊。

總結

針對本次事件,Beosin安全團隊建議:

建議用作憑證代幣的合約地址需要填加白名單功能,以免被惡意操控。目前,Beosin已對Optimism鏈上多個項目諸如DIPX等進行過安全審計,因此Beosin建議項目上線前,選擇專業的安全審計公司進行全面的安全審計,規避安全風險。

Beosin

企業專欄

閱讀更多

金色財經

金色財經 善歐巴

web3中文

金色早8點

YBB Capital

吳說Real

元宇宙簡史

Tags:SINEOSMARKETSIMPSONSINU價格NEOSSMEGMARSWettok Market

幣安app官網下載
元宇宙基礎設施企業魔琺科技連續完成B輪、C輪融資,總金額1.3億美元_元宇宙

原標題:《魔琺科技完成1.3億美元融資,希望“構建元宇宙基礎設施”》4月6日,元宇宙基礎設施企業魔琺科技宣布連續完成B輪、C輪融資,總金額1.3億美元.

1900/1/1 0:00:00
比特幣暴跌 那些比特幣頭部巨鯨們的動向如何?_BSP

我們知道,鯨魚是海洋中最大的生物,且浮出海面時往往引起巨浪波動。持有大量加密資產的用戶在轉賬時引起市場波動與此類似,因此社區將持有加密資產超過一定數量的大戶或機構稱為加密巨鯨.

1900/1/1 0:00:00
深度分析ARB鏈上籌碼:用戶在不斷增持 大戶多數處于虧損_ARB

過去30天,arb從交易所累計凈流出1500萬ARB,也說明坎昆升級在即,用戶在不斷增持狀態。1 arb的持倉地址在穩定提高,其中增長速度最大的是持有5萬arb的大戶地址,七月的依然保持10%的.

1900/1/1 0:00:00
金色Web3.0日報 | Binance Connect將于8月16日關閉_LANA

DeFi數據 1、DeFi代幣總市值:466.95億美元 DeFi總市值及前十代幣 數據來源:coingecko2、過去24小時去中心化交易所的交易量38.

1900/1/1 0:00:00
區塊鏈產業周刊丨中國三大金融協會發布防范數字藏品相關金融風險倡議;中國人民銀行公布數字人民幣試點地區;韓國將研究藏品版權相關政策_NFT

文丨區塊鏈落地小能手? 概述 隨著區塊鏈技術的飛速發展,各式各樣的區塊鏈相關金融活動層出不窮。同時,我國NFT非同質化通證市場也在持續升溫.

1900/1/1 0:00:00
Chainlink(LINK)是否即將迎來40%的價格突破?_INK

作者:Ibrahim Ajibade,BeinCrypto 編譯:善歐巴,金色財經 摘要 盡管普遍存在關于另類幣市場的負面情緒.

1900/1/1 0:00:00
ads