一、前言
北京时间2022年3月21日,知道创宇区块链安全实验室监测到BSC链和以太坊上的UmbNetwork奖励池遭到黑客攻击,损失约70万美元。实验室第一时间对本次事件进行跟踪并分析。
二、基础信息
攻击者地址:0x1751e3e1aaf1a3e7b973c889b7531f43fc59f7d0
Humboldt Capital:投资者其实并不需要投资ETH:加密货币投资机构Humboldt Capital表示,ETH将随着DeFi的持续增长而增值的投资论点,就像是主张投资标普500指数,而不是投资某只具体的科技股一样。到目前为止,投资ETH最大的问题是你并不需要投资协议层,你只需要投资最好的应用程序。
Bitcoinist举例称,比如投资MakerDAO的MKR代币,可能会获得比ETH本身更大的收益。(Bitcoinist)[2020/6/15]
攻击合约:0x89767960b76b009416bc7ff4a4b79051eed0a9ee
公告 | Bithumb:今日至3月6日将暂停BTT和HDAC的交易:韩国虚拟货币交易所Bithumb官方推特称:将于北京时间今日11:00 ~ 3月6日09:00暂停BTT和HDAC的交易。[2019/3/4]
StakingRewards合约:0xB3FB1D01B07A706736Ca175f827e4F56021b85dE
以太坊交易哈希:0x33479bcfbc792aa0f8103ab0d7a3784788b5b0e1467c81ffbed1b7682660b4fa
EOS官方:bithumb原CEO加入Block One EOS不断创新高:据EOS官方消息,EOS韩国发布会上,bithumb原CEO加入Block One(EOS的团队)。EOS宣布Block One现在拥有11亿美元的资金。EOS VC(风险投资)将有10亿美元用于dApps和项目,第一个风险投资伙伴关系将在本月下旬公布。EOS涨势迅猛,不断创新高。火币Pro数据显示,EOS现价16.49美元,涨幅22.77%[2018/1/13]
BSC交易哈希:0x784b68dc7d06ee181f3127d5eb5331850b5e690cc63dd099cd7b8dc863204bf6
三、漏洞分析
此次事件,漏洞关键在于UmbNetwork奖励池的StakingRewards合约中的_balance函数出现溢出漏洞,合约未校验检查balance的值,攻击者通过amount发起下溢攻击,抽空了池子中的代币。
从合约代码我们可以看出,合约未正确使用SafeMath安全库且未作溢出检查,导致此次攻击发生。
四、攻击流程
攻击者从BSC链发起攻击获取156枚pancake-LP代币:
攻击者在以太坊上发起攻击获取8792枚UNI-V2代币:
随后攻击者分别将代币转分别换成ETH、UMB和BNB,获利约70万美元。
五、分析
本次攻击事件核心是由于合约未正确使用SafeMath库并且未对合约进行溢出检查导致合约出现溢出漏洞,而导致了此次事件的发生,建议项目方多加注意检查合约是否正确使用各类安全库。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
借款和贷款是DeFi的两个重要部分,但它们一直缺少一个有效的操作凭证:去中心化的信用评级。 贷款和借款的概念与时间本身一样古老.
1900/1/1 0:00:00版权NFT交易平台Euterpe今日宣布获得HKICEx(香港国际商品交易所)投资。HKICEx隶属于HKFAEx。香港金融资产交易集团是香港三大交易所之一.
1900/1/1 0:00:00前言北京时间2022年2月5日晚,http://Meter.io跨链协议遭到攻击,损失约430万美元。知道创宇区块链安全实验室第一时间跟踪本次事件并分析.
1900/1/1 0:00:00Bitfinex行动使用程序已经上线Bitfinex借用功能4月23日消息,Bitfinex行动管理程序已经上线Bitfinex借用功能.
1900/1/1 0:00:00什么是GameFi由于区块链技术的兴起,金融方面从未像现在这样与游戏行业交织在一起。区块链游戏也被称为去中心化游戏,即GameFi——Game+DeFI.
1900/1/1 0:00:00北京时间2022年4月24日下午4时33分,CertiK审计团队监测到WienerDOGE项目被恶意利用,造成了3万美元的损失。攻击者利用WDODGE的收费机制和交换池之间的不一致,发起了攻击.
1900/1/1 0:00:00
月亮链