黑客攻擊事件 算法穩定幣項目Beanstalk Farms被盜損失達1.82億美元_USD

2022年4月17日，算法穩定幣項目BeanstalkDAO遭受黑客攻擊，損失已達1.82億美元，包括7900多萬BEAN3CRV-f、163萬BEANLUSD-f、3600萬BEAN和0.54個UNI-V2_WETH_BEAN。啟動入侵的初始資金已被撤回至SynapseProtocol，且大部分收益都被存入Tornado.cash。目前，該項目穩定幣BEAN價格已經從約1美元跌至0.136美元，跌幅達86%。

BeanStalk是一個分散的基于信用的穩定幣協議。該協議由三個相互連接的組件組成：去中心化價格預言機、去中心化治理系統和去中心化信貸工具。根據該項目的白皮書介紹，BeanStalk使用動態掛鉤維護機制，定期將1Bean的價格超過其價值掛鉤，而無需集中化或抵押要求。

一加聯合創始人Carl Pei推特賬戶遭黑客攻擊，被用于宣傳加密貨幣騙局:一加（OnePlus）聯合創始人Carl Pei的推特賬戶在周二遭到黑客攻擊，并被用于宣傳加密貨幣騙局。該騙局宣稱Carl Pei的新公司Nothing正在推出一種加密貨幣，有意投資的人可以通過向指定地址發送以太坊來參與首次代幣發行。Pei隨后向科技新聞網站Engadget表示，該條被迅速刪除的推文是黑客攻擊的結果。（Coindesk）[2021/5/25 22:42:52]

此次攻擊事件距離AxieInfinity遭到黑客攻擊損失6.25億美元還不到一個月時間，Beanstalk受到了巨大的損失。這次的黑客攻擊或源于前一天通過的BIP18，BIP18導致使用治理特權來抽干資金池的精心設計的代碼來執行，黑客利用了Beanstalk的“投票合約中的票數是根據賬戶中的代幣持有量來得到的”這一閃電貸漏洞完成了這次的攻擊，并將獲利的部分USDC轉入了烏克蘭加密捐贈地址。

Vether遭黑客攻擊，損失價值90萬美元的VETH:Coingecko研究分析師Daryl Lau在推特上發文表示，本周三（7月1日）加密貨幣項目Vether（VETH）遭到攻擊，Uniswap資金池耗盡919299 VETH，價值約合90萬美元，而且整個攻擊成本僅有0.9ETH，約合200美元。攻擊事件發生后，VETH官方表示，該合約被其放置在transferForm（）中的UX改進所利用，這是我們的過錯。我們將重新部署vether4，并將補償所有受影響的Uniswap質押者。

此前報道，6月30日Balancer流動性池遭到閃電貸攻擊已損失50萬美元，據悉遭遇損失的為STA和STONK兩個代幣池，目前這兩個代幣池的流動性已枯竭。[2020/7/1]

下面ArmorsCompanyLimited來具體分析一下黑客的攻擊過程。

聲音 | NULS官方：目前黑客攻擊事件的不良影響已經在團隊的控制之中:NULS官方發布微博披露近日200萬NULS代幣被盜事件進展。本次攻擊的原因是NULS交易簽名驗證邏輯存在一個BUG，黑客利用精心構造的交易繞過了驗證的環節。節點對該筆交易進行了確認，從NULS團隊賬戶中轉走了200萬NULS代幣到黑客地址，隨后將相應代幣分散拆分到多個地址，意圖拋向二級市場。在黑客從NULS團隊賬戶轉走的200萬NULS中，有548354.34696095NULS已流入到交易市場，目前已積極聯系相關交易所配合進行凍結操作。硬分叉后，未進入交易市場的1451645.65303905NULS將會以永久凍結的方式銷毀。[2019/12/24]

黑客從攻擊的前一天發起了交易提案，提案通過以后將會從Beanstalk:BeanstalkProtocol合約中提取資金。首先黑客通過閃電貸換取了3.5億個DAI、5億個USDC、1.5億個USDT、3200萬個BEAN和1100萬個LUSD作為資金儲備。再將這些資金在Curve.fi對應交易對的交易池中添加為3Crv流動性代幣，總量達到9.8億個。接著用1500萬個3Crv兌換成LUSD。又將3Crv代幣兌換為BEAN3CRV-f用于投票，把3200萬個BEAN和近2700萬個LUSD添加流動性，這樣就成功得到5900萬個BEANLUSD-f流動性代幣。

動態 | 大規模虛擬貨幣黑客攻擊事件發生7個月后 Zaif將于下周恢復MONA交易:據Cointelegraph4月20日消息，部分BTC，BCH和MONA在去年9月的Zaif黑客事件中被竊取，由于MONA的市場銷量很小，Zaif決定向遭受損害的用戶賠償損失的MONA價值的60％和損失日元的40％。它旨在為接受業務繼承的客戶進行余額調整。[2019/4/20]

接著，黑客用BEAN3CRV-f和BEANLUSD-f來對提案發起投票，然后調用emergencyCommit進行緊急提交來執行提案，從而導致提案通過。經過以上一系列的操作，3600萬個BEAN、8.75億個BEAN3CRV-f、6000萬個BEANLUSD-f以及0.54個UNI-V2，通過Beanstalk:BeanstalkProtocol合約轉入了攻擊合約。最后黑客將流動性移除并歸還閃電貸，把多余的代幣兌換為近2.5萬個ETH持續轉移至Tornado.Cash。

交易詳細信息如圖所示：

ETH被分批發送到Tornado.Cash：

Armors安全在此提醒：

首先，還是要對項目代碼的安全審計提高重視，建議找行業內正規的安全公司進行全方位的代碼審計，并定期檢查更新，可使用實時的安全監測服務，避免出現安全風險。其次，項目方應避免使用賬戶的當前資金余額來統計投票數量，投票所用資金應在合約中設定鎖定時間，避免出現可能的反復投票或使用閃電貸進行投票。對于惡意提案，項目方和社區應提高關注度及警惕性，可考慮禁止合約地址參與投票，并設立預警機制，對于惡意提案，需及時作出預警和處理，禁止惡意提案的投票通過和執行。

Armors安全機構成立于2017年，是行業最早成立的專業區塊鏈安全機構之一。Armors是Polygon、BSC、Ethereum、Solana等公鏈審計合作伙伴，已為超過2000家區塊鏈平臺、交易所、錢包、DApp等機構和項目提供安全審計、滲透測試、跨鏈遷移、平臺安全等各方面保障及服務。成立以來，Armors已為客戶挽回超過32000個BTC的資產損失。

Tags：BEAETHUSDSTAADABEAR價格etha幣最新動態usdd幣價格starl幣有投資價值嗎

Filecoin