2022年5月16日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,Ethereum和BNBChain上FEGtoken項目的FEGexPRO合約遭受黑客攻擊,黑客獲利約3280?BNB?以及144ETH,價值約130萬美元。成都鏈安技術團隊對事件進行了分析,結果如下。
事件相關信息
本次攻擊事件包含多筆交易,部分交易信息如下所示:
攻擊交易?(部分)
0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063?(BNBChain)
加密貨幣交易平臺Gemini推出電子場外交易服務“Gemini eOTC”:金色財經報道,加密貨幣交易平臺 Gemini 宣布推出符合 SOC2 Type 2 標準的電子場外交易(eOTC)服務“Gemini eOTC”,一種為全球機構交易對手量身定制的全自動加密貨幣交易解決方案,相關交易建立在 Gemini 現有的托管、結算和場外交易功能的基礎上。據悉,Gemini eOTC 服務將通過 GTC 附屬公司 Gemini NuSTAR, LLC 提供,目前已經支持全球 70 個司法管轄區,包括美國(除紐約州外的所有州)、英國、愛爾蘭和新加坡。(crowdfundinsider)[2023/1/28 11:34:08]
0x1e769a59a5a9dabec0cb7f21a3e346f55ae1972bb18ae5eeacdaa0bc3424abd2?(Ethereum)
Worldcoin:注冊用戶超87萬人,將盡早啟動EVM Rollup:1月3日消息,由前YC首席執行官Sam Altman創立的UBI加密項目Worldcoin在推文中表示,到目前為止,已有超過87萬人注冊了Worldcoin Beta應用程序,每周活躍用戶超過6.9萬人,以太坊的高額Gas費很難支撐Worldcoin發展,因此在積極尋求以太坊的擴展方案,并為EIP4844做了一系列技術貢獻,例如kzg-ceremony-sequencer實現、KZG儀式參與者客戶、支持加密庫(ECC、KZG)等。
目前,Worldcoin使用Polygon上數字資產管理平臺Safe(原GnosisSafe)為用戶提供補貼交易。但之后會盡早采用以太坊Rollups提供更好的安全保證。據悉,Worldcoin去年曾表示目標為兩年內覆蓋超過10億人。[2023/1/3 22:22:20]
攻擊者地址
M-Ventures合伙人:香港可能成為新的加密貨幣中心:金色財經現場報道,在Coinlive舉辦的峰會上,M-Ventures的風險合伙人Leo Zhao以深入探討“Web3趨勢與機遇”的第一個主題演講拉開了下半場活動的序幕。他首先回顧了當前的市場狀況,然后他分享了觀察到的趨勢:擴展解決方案正在成熟─Arbitrum和Optimism TVL顯著,以及ZKrollup和模塊化區塊鏈;主流消費者采用——NFT吞噬世界、錢包UI/UX改進和Web2用戶遷移;透明度和合規性─CEX被迫提供更高的透明度,否則將被DeFi吞噬,數字資產監管框架更加清晰,香港可能成為新的加密貨幣中心。[2022/12/22 22:01:24]
0x73b359d5da488eb2e97990619976f2f004e9ff7c
攻擊合約
0x9a843bb125a3c03f496cb44653741f2cef82f445
Jump Crypto、Aptos Labs向Binance主導的復蘇基金捐助5000萬美元:金色財經報道,根據一份新聞稿,Aptos Labs和Jump Crypto宣布承諾向幣安牽頭的價值10億美元的行業復蘇計劃 (IRI) 捐助5000萬美元。Jump Crypto和新推出的Aptos區塊鏈背后的實體Aptos Labs與風險投資公司Polygon Ventures和Animoca Brands以及GSR、Kronos和Brooker Group一起為該基金提供資金。
此前消息,Binance公布10億美元行業復蘇計劃簡介,需要時將增至20億美元。[2022/11/25 8:06:20]
被攻擊合約
0x818e2013dd7d9bf4547aaabf6b617c1262578bc7?(BNBChain)
0xf2bda964ec2d2fcb1610c886ed4831bf58f64948(Ethereum)
天橋資本創始人:預計未來加密市場將更加活躍:8月12日消息,投資管理公司SkyBridge Capital創始人兼首席執行官Anthony Scaramucci在8月12日接受CNBC Squawk Box采訪時強調,他預計未來加密市場將更加活躍,他說:“我們認為,隨著閃電網絡的改進、應用程序的增加以及比特幣交易的便利性,你將會看到更多的商業活動。”
Scaramucci還對即將到來的以太坊合并升級發表評論稱,“這將降低該網絡的交易費用”。(Finbold)[2022/8/13 12:22:21]
攻擊流程
Ethereum和BNBChain上使用攻擊手法相同,以下分析基于BNBChain上攻擊:
1.攻擊者調用攻擊合約利用閃電貸從DVM合約(0xd534...0dd7)中借貸915.84WBNB,然后將116.81WBNB兌換成115.65fBNB為后續攻擊做準備。
2.攻擊者利用攻擊合約創建了10個合約,為后續攻擊做準備。
3.攻擊者接下來將兌換得到的fBNB代幣抵押到FEGexPRO合約中。
4.?然后攻擊者重復調用depositInternal和swapToSwap函數,讓FEGexPRO合約授權fBNB給之前創建好的其他攻擊合約。
5.?然后利用其他攻擊合約調用transferFrom函數將FEGexPRO合約中fBNB全部轉移到攻擊合約中。
6.接下來又在LP交易對合約(0x2aa7...6c14)中借貸31,217,683,882,286.007211154FEG代幣和423WBNB。
7.然后重復3、4、5步驟的攻擊手法,將FEGexPRO合約中大量FEG代幣盜取到攻擊合約中。
8.然后歸還閃電貸,將獲得的WBNB轉入攻擊合約中完成此筆攻擊。
9.此后,又利用相同的原理,執行了50余筆相同的攻擊,最獲利約144ETH和3280BNB。
漏洞分析
本次攻擊主要利用了FEGexPRO合約中swapToSwap函數中path地址可控且合約中未對path地址進行有效性校驗的漏洞。由于合約中depositInternal函數中更新用戶余額時依賴于合約中當前代幣余額,攻擊者通過傳入一個惡意的path地址,調用swapToSwap函數時合約中代幣余額并未發生變化,導致攻擊者可以反復重置攻擊合約在FEGexPRO合約中記錄的代幣數量,從而讓FEGexPRO合約將自身代幣反復授權給攻擊者所控制的多個惡意合約。
資金追蹤
截止發文時,被盜資金仍在攻擊者地址中并未轉移。
總結
針對本次事件,成都鏈安技術團隊建議:
項目開發時,應該注意與其他合約交互時可能存在的安全風險,盡量避免將關鍵參數設置為用戶可控。如果業務需求如此,則需要嚴格判斷用戶輸入的參數是否存在風險。此外建議項目上線前選擇專業的安全審計公司進行全面的安全審計,規避安全風險。
前言 在NFTs方面,以太坊是王者。許多人認為它是NFTs的一站式商店,在過去的一年里,它迅速成為最熱門的話題,有時也是最熱門的區塊鏈。然而,眾多其他區塊鏈在NFT領域內已經變得越來越受歡迎.
1900/1/1 0:00:00Waves公鏈的生態在一定程度上借鑒了Terra,面臨問題較大,支持比率較低。UST暴雷之后,去中心化穩定幣受到全面重創,截至5月18日,DAI和FRAX的流通量在本月分別下降26.6%%和44.
1900/1/1 0:00:00在美聯儲宣布加息后,加密市場整體下行,隨后加密恐慌情緒加劇。而又適逢Terra生態團隊LFG宣布調整UST-3Crv池的撤資間隙,巨鯨地址拋售UST,造成第一大算法穩定幣UST嚴重脫錨,隨后LU.
1900/1/1 0:00:00頭條 ▌MetaMask招聘產品營銷經理或將發行Token5月22日消息,MetaMask正在招聘產品營銷經理,該崗位負責MetaMask產品營銷活動的策劃、開發和執行,以及相關產品的營銷活動.
1900/1/1 0:00:00多米DOMI公鏈與金色財經簽署媒體及社區建設合作協議:2021年9月8日,總部位于弗吉尼亞州多米基金會Domino Foundation與金色財經簽署了媒體和社區建設合作協議.
1900/1/1 0:00:00LUNA崩盤了,連續多日天天暴跌90%以上。針對這個事情,郭律師前兩天發了個視頻簡單聊了聊LUNA維權的三個路徑.
1900/1/1 0:00:00