月亮链 月亮链
Ctrl+D收藏月亮链
首页 > AVAX > 正文

BEA:Beanstalk Farms攻击事件分析:恶意提案如何防范?-ODAILY_TAL

作者:

时间:1900/1/1 0:00:00

2022年4月17日,成都链安链必应-区块链安全态势感知平台舆情监测显示,算法稳定币项目BeanstalkFarms遭黑客攻击,黑客获利近8000万美元,成都链安技术团队第一时间对事件进行了分析,结果如下。

#1事件相关信息

攻击交易

0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7

攻击者地址

0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4

攻击合约

0x79224bC0bf70EC34F0ef56ed8251619499a59dEf

被攻击合约

Azuki SBT系列Elementals将开启预售,Azuki和BEANZ持有者将获一枚空投:6月24日消息,Azuki官方宣布,Azuki SBT系列NFT Elementals将于北京时间6月28日0点开启预售,每位Azuki和BEANZ持有者都会获得一枚Soulbound代币(SBT)空投,以纪念其在2023年Follow The Rabbit活动期间在花园里度过的时光。

此外,每个Azuki都被空投了一个未公开且锁定的元素。剩余的将在AzukiElementals预售期间出售。这些未公开的代币会解锁并进行转让,并可在销售结束后立即公开。[2023/6/24 21:57:33]

0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5

#2攻击流程

Web3初创企业加速器Beacon首批13家初创公司毕业:金色财经报道,Web3 初创企业加速器 Beacon 首批 13 家初创公司已毕业,包括 Arcana、Blinkmoon、ChapterX、Colexion、Community Gaming、FastLane、Cubist、Meta Apes、Mystic Moose、Nillion、Davos Protocol、TimeSwap 和 Ylide。Beacon 由 Polygon 联合创始人 Sandeep Nailwal 推出,他透露首个“Cohort 0”加速计划已与 1000 多个项目进行了交流,最终在选定了 15 家公司,最终毕业的有 13 家,这些公司将获得约 250,000 美元的初始资金,投后估值预计可以达到 800 万美元。(coinspeaker)[2023/1/12 11:07:15]

1.攻击者从攻击的前一天发起了提案交易,提案通过会提取Beanstalk:BeanstalkProtocol合约中的资金。

元宇宙聚合平台Beacon Global完成100万美元融资,GD Capital等参投:9月13日消息,一站式元宇宙聚合平台Beacon Global宣布完成100万美元融资,Candaq、RNGX、GD Capital、7 O'Clock Capital、Linden等机构参投。Beacon Global是一个将公会、玩家、游戏开发商、媒体、KOL汇聚在一起的元宇宙流量聚合平台,其业务范围涵盖媒体报道、项目服务、区块链知识教育培训等,涉及GameFi、DeFi、NFT、元宇宙等多个垂直赛道。[2022/9/13 13:25:59]

2.黑客通过闪电贷换取了350,000,000个DAI,500,000,000个USDC,150,000,000个USDT,32,100,950个BEAN和11,643,065个LUSD作为资金储备。

动态 | 区块链音乐初创企业Beatdapp Software融资320万加元:区块链音乐初创企业Beatdapp Software已完成320万加元的融资。该轮融资由早期投资者Panache Ventures牵头,其他投资者还包括Maple VC、500 Startups和Hike Ventures。Beatdapp表示,这笔新资金将加速其进入市场以及音乐行业中区块链技术的部署。[2019/10/16]

3.黑客将2步骤的DAI,USDC,USDT资金在Curve.fiDAI/USDC/USDT交易池中添加为979,691,328个3Crv流动性代币,用15,000,000个3Crv换来15,251,318个LUSD。

4.将964,691,328个3Crv代币兑换为795,425,740个BEAN3CRV-f用于投票,将32,100,950个BEAN和26,894,383LUSD添加流动性得到58,924,887个BEANLUSD-f流动性代币。

5.使用4步骤中的BEAN3CRV-f和BEANLUSD-f来对提案进行投票,导致提案通过。从而Beanstalk:BeanstalkProtocol合约向攻击合约转入了36,084,584个BEAN,0.54个UNI-V2,874,663,982个BEAN3CRV-f以及60,562,844个BEANLUSD-f。

6.最后攻击者将流动性移除并归还闪电贷,把多余的代币兑换为24830个ETH转入攻击者账户中。

#3漏洞分析

本次攻击主要利用了投票合约中的票数是根据账户中的代币持有量得到的。

攻击者至少在一天前发起提取Beanstalk:BeanstalkProtocol资金的提案,然后调用emergencyCommit进行紧急提交来执行提案,这个就是攻击者1天之前发起攻击准备的原因所在。

#4资金追踪

截止发文时,攻击者获利22029601个USDC,14742429个DAI,6,603,829个USDT与0.5407个UNI-V2,640224美元的BAEN代币资金近8000万,在攻击时将其中的25万USDC捐赠了乌克兰,之后攻击者将资金转换为ETH并将资金持续向Tornado.Cash转移。

针对本次事件,成都链安技术团队建议:

1.投票所用资金应在合约中锁定一定时间,避免使用账户的当前资金余额来统计投票数量,以避免可能出现的反复投票以及使用闪电贷进行投票;

2.项目方和社区应关注所有提案,如果提案是恶意提案,建议在提案投票期间应及时做出处理措施,将提案废弃,禁止其接受投票以及执行;

3.可考虑禁止合约地址参与投票;此外项目上线前最好进行全面的安全审计,规避安全风险。

标签:BEAUSDTALSTABEAST价格USD CoinTAL币Standard

AVAX热门资讯
DOT:波卡网络中的交易费用是如何产生,如何计算的?-ODAILY_polkadottedtie

“波卡知识图谱”是我们针对波卡从零到一的入门级文章,我们尝试从波卡最基础的部分讲起,为大家提供全方位了解波卡的内容,当然这是一项巨大的工程,也充满了挑战.

1900/1/1 0:00:00
NFT:How to NFT 6:游戏-ODAILY_slp币怎么样

游戏总是被垄断在中心化的企业实体手中,游戏的开发商或发行商对游戏中的虚拟经济有严格限制。玩家不能自由交易他们在游戏中的物品和资产,通常需要非法使用第三方平台,依靠不安全的P2P交易来完成.

1900/1/1 0:00:00
HER:Tether一周简报(3月7日- 3月13日)-ODAILY_ETH

Tether在波场网络上新增印钞10亿枚USDT波场网络补充了10亿枚USDT的库存。这是一笔已授权但未发行的交易该金额将用作下一次发行请求和链互换的库存.

1900/1/1 0:00:00
RON:波场TRON进展周报(2022.04.30-2022.05.06)-ODAILY_Patron

过去的一周,波场TRON项目进展顺利,为满足波场TRON全球社区爱好者阅读,本周周报共分为14种语言,请您选择阅读.

1900/1/1 0:00:00
RON:波场版稳定币本周日均转账额突破82亿美元-ODAILY_888Tron

根据区块链浏览器TRONSCAN数据,过去一周,波场版稳定币日均转账额为8,208,774,620美元,突破82亿美元.

1900/1/1 0:00:00
比特币:AAX支持闪电网络,提供更快更好的用户体验-ODAILY_GATSBY币

2022年3月22日,首家使用聪本位(SATs)以推动比特币应用落地的AAX交易所宣布,即日起将支持闪电网络,并感谢LightningLabs的技术支持.

1900/1/1 0:00:00