比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > FTX > Info

CertiK首發:加密版無損「倒信用卡」獲利百萬美元 FEG閃電貸攻擊事件分析_BNB

Author:

Time:1900/1/1 0:00:00

北京時間2022年5月16日凌晨4:22:49,CertiK安全技術團隊監測到FEG在以太坊和BNB鏈上遭受大規模閃電貸攻擊,導致了價值約130萬美元的資產損失。

此攻擊是由“swapToSwap()”函數中的一個漏洞造成的,該函數在未對傳入參數進行篩查驗證的情況下,直接將用戶輸入的"path"作為受信任方,允許未經驗證的"path"參數來使用當前合約的資產。

因此,通過反復調用"depositInternal()"和"swapToSwap()",攻擊者可獲得無限制使用當前合約資產的許可,從而盜取合約內的所有資產。

受影響的合約地址之一:https://bscscan.com/address/0x818e2013dd7d9bf4547aaabf6b617c1262578bc7

CertiK:Vivity項目Discord服務器遭到攻擊:金色財經消息,據CertiK監測,Vivity項目Discord服務器遭到攻擊。請社區用戶不要點擊鏈接,鑄造或批準任何交易。[2022/10/22 16:35:12]

漏洞交易

漏洞地址:https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c?

漏洞交易樣本:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063

被盜資金追蹤:https://debank.com/profile/0x73b359d5da488eb2e97990619976f2f004e9ff7c/history

Buy Me a Coffee聯合創始人:ZKN的生態應用Cering Swap很有前景:9月6日,Buy Me a Coffee聯合創始人發布推特稱,ZKN我在關注,應該很快就會上漲,他們的生態應用Cering Swap很有前景,是世界上第一個跨鏈聚合的去中心化交易所,Cering Swap代幣CNG我也會參與,我甚至準備好了梭哈。[2021/9/6 23:04:43]

相關地址

攻擊者地址:https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c

攻擊者合約:https://bscscan.com/address/0x9a843bb125a3c03f496cb44653741f2cef82f445

非托管投資組合經理Balancer Labs籌集300萬美元:金色財經報道,非托管投資組合經理Balancer Labs在由Accomplice和Placeholder領導的種子輪融資中籌集了300萬美元。Balancer成立于2018年,最初是分析公司BlockScience旗下的一個項目。據悉,Balancer本質上是Uniswap自動做市商(AMM)模型的通用實現,并且該概念引起了開放金融生態系統參與者的廣泛興趣。[2020/3/25]

FEG代幣地址:https://bscscan.com/token/0xacfc95585d80ab62f67a14c566c1b7a49fe91167

FEGWrappedBNB(fBNB):https://bscscan.com/address/0x87b1acce6a1958e522233a737313c086551a5c76#code

韓國區塊鏈公司Certon.In參與日本虛擬貨幣'BaaSid’項目:今日(5日)韓國區塊鏈公司Certon.In宣布為了加強其子公司‘X-Chain’的個人認證服務將參與日本安全公司PRO主導準備的基于去中心化認證的虛擬貨幣項目 ‘BaaSid’。根據Certon.In公司的描述, ‘BaaSid’是將用戶敏感的個人身份驗證信息進行拆分,并將這些被拆分的信息在單獨的節點上進行分離·分散的儲存, 進行登錄、付款或使用網上銀行時可以進行暫時合并。該網絡平臺沒有在線服務提供商(OSP)提供的中心化數據庫,是一個即時驗證(即時訪問)的去中心化數據庫公共網絡平臺。[2018/2/5]

攻擊步驟

以下攻擊流程基于該漏洞交易:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063

①攻擊者借貸915WBNB,并將其中116BNB存入fBNB。

②攻擊者創建了10個地址,以便在后續攻擊中使用。

③攻擊者通過調用"depositInternal()"將fBNB存入合約FEGexPRO。

根據當前地址的余額,"_balances2"被增加。

④攻擊者調用了"swapToSwap()",路徑參數是之前創建的合約地址。

該函數允許"path"獲取FEGexPRO合約的114fBNB。

⑤攻擊者反復調用"depositInternal()"和"swapToSwap()",允許多個地址獲取fBNB代幣,原因如下:

每次"depositInternal()"被調用,_balance2將增加約114fBNB。

每次"swapToSwap()"被調用,攻擊者所創建合約能獲取該114fBNB的使用權限。

⑥?由于攻擊者控制了10個地址,每個地址均可從當前地址花費114個fBNB,因此攻擊者能夠盜取被攻擊合約內的所有fBNB。

⑦攻擊者重復步驟④⑤⑥,在合約內耗盡FEG代幣。

⑧最后攻擊者出售了所有耗盡的資產,并償還閃電貸款,最終獲取了其余利潤。

資產去向

截至2022年5月16日6:43,被盜資金仍存儲在以太坊和BSC鏈上的攻擊者錢包中。

原始資金來自以太坊和BSC的Tornadocash:https://etherscan.io/tx/0x0ff1b86c9e8618a088f8818db7d09830eaec42b82974986c855b207d1771fdbe

https://bscscan.com/tx/0x5bbf7793f30d568c40aa86802d63154f837e781d0b0965386ed9ac69a16eb6ab

攻擊者攻擊了13個FEGexPRO合約,以下為概覽:

Tags:SWAPBNBCERCOMWSWAP幣togetherbnb能推倒幾個Paycer Protocolcommunity

FTX
OceanMollu:區塊鏈是元宇宙的重要底層技術, 未來將給我們的生活方式帶來巨大改變_區塊鏈

元宇宙的熱度來的比預想的快不少,甚至在巨頭們還在摩拳擦掌之時,市場已經發生了激烈反應。或許我們已經很難去探明究竟是元宇宙炒作了區塊鏈的技術,還是區塊鏈炒紅了元宇宙,畢竟在區塊鏈里元宇宙的某些雛形.

1900/1/1 0:00:00
”穩定幣不穩“會是加密的”雷曼“時刻嗎?_THE

算法穩定幣UST嚴重脫鉤,Luna代幣近乎“歸零”,市值最大的穩定幣Tether周四短暫跌破1美元,各大藍籌代幣紛紛滑落至近期冰點,曾經達到2萬億美元的加密總市值縮水至1.3萬億美元.

1900/1/1 0:00:00
美財長耶倫稱目前加密貨幣不會對金融系統造成系統性風險_UST

摘要: -美國財政部長耶倫認為,2萬億美元的加密貨幣市值不構成系統性風險。-耶倫還談到了最近Terra穩定幣UST的崩盤.

1900/1/1 0:00:00
一文讀懂:區塊鏈會是域名的未來么?_AIN

1.?什么是DNS?現狀如何?DNS就像互聯網的電話簿,將易理解的域名轉換成特定的互聯網IP地址協議,以便谷歌Chrome和微軟IE等瀏覽器為用戶檢索到正確的網站.

1900/1/1 0:00:00
如何評估 Web3 項目的價值?_DEF

原文:《What’saWeb3ProjectReallyWorth?Here’sHowtoTell.》Web3初創公司是一種新型公司——并且需要新的評估方法.

1900/1/1 0:00:00
金色Web3.0日報 | a16z推出專用于游戲初創公司的6億美元基金_ING

DeFi數據 1.DeFi代幣總市值:531.54億美元 DeFi總市值數據來源:coingecko2.過去24小時去中心化交易所的交易量:30.

1900/1/1 0:00:00
ads