2022年4月17日,成都链安链必应-区块链安全态势感知平台舆情监测显示,算法稳定币项目BeanstalkFarms遭黑客攻击,黑客获利近8000万美元,成都链安技术团队第一时间对事件进行了分析,结果如下。
#1事件相关信息
攻击交易
0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7
攻击者地址
0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4
Moonriver链上DEX MoonSwap IDO项目SaturnBeam跑路:10月11日消息,Moonriver链上去中心化交易所MoonSwap的IDO项目SaturnBeam跑路,MoonSwap发推警告SaturnBeam24小时内退还款项。MoonSwap是波卡生态智能合约平台Moonbeam的Kusama平行链Moonriver上的DEX,SaturnBeam是其IDO项目。[2021/10/11 20:19:33]
攻击合约
0x79224bC0bf70EC34F0ef56ed8251619499a59dEf
香港潮流媒体Hypebeast旗下电商网站已支持BTC等加密货币作为支付方式:金色财经报道,香港潮流媒体Hypebeast旗下电商网站hbx现已支持比特币、以太坊、莱特币加密货币作为支付方式。[2021/5/2 21:17:59]
被攻击合约
0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5
#2攻击流程
1.攻击者从攻击的前一天发起了提案交易,提案通过会提取Beanstalk:BeanstalkProtocol合约中的资金。
2.黑客通过闪电贷换取了350,000,000个DAI,500,000,000个USDC,150,000,000个USDT,32,100,950个BEAN和11,643,065个LUSD作为资金储备。
匿名币项目Beam将在其DeFi生态中允许隐私稳定币运行:匿名币项目Beam表示,其DeFi生态将允许隐私稳定币在BEAM上运行。隐私稳定币即将到来,未来DeFi将兼具隐私性。据此前报道,Beam基金会负责人Guy Corem表示,Beam将在未来启用私有的和去中心化的DeFi工具,例如跟踪商品、股票和ETF的隐私稳定币和私有合成资产。这些资产将可在真实的去中心化交易所(DEX)上进行交易。其中大部分将在今年建立并投入使用。[2020/9/8]
3.黑客将2步骤的DAI,USDC,USDT资金在Curve.fiDAI/USDC/USDT交易池中添加为979,691,328个3Crv流动性代币,用15,000,000个3Crv换来15,251,318个LUSD。
4.将964,691,328个3Crv代币兑换为795,425,740个BEAN3CRV-f用于投票,将32,100,950个BEAN和26,894,383LUSD添加流动性得到58,924,887个BEANLUSD-f流动性代币。
5.使用4步骤中的BEAN3CRV-f和BEANLUSD-f来对提案进行投票,导致提案通过。从而Beanstalk:BeanstalkProtocol合约向攻击合约转入了36,084,584个BEAN,0.54个UNI-V2,874,663,982个BEAN3CRV-f以及60,562,844个BEANLUSD-f。
6.最后攻击者将流动性移除并归还闪电贷,把多余的代币兑换为24830个ETH转入攻击者账户中。
#3漏洞分析
本次攻击主要利用了投票合约中的票数是根据账户中的代币持有量得到的。
攻击者至少在一天前发起提取Beanstalk:BeanstalkProtocol资金的提案,然后调用emergencyCommit进行紧急提交来执行提案,这个就是攻击者1天之前发起攻击准备的原因所在。
#4资金追踪
截止发文时,攻击者获利22029601个USDC,14742429个DAI,6,603,829个USDT与0.5407个UNI-V2,640224美元的BAEN代币资金近8000万,在攻击时将其中的25万USDC捐赠了乌克兰,之后攻击者将资金转换为ETH并将资金持续向Tornado.Cash转移。
针对本次事件,成都链安技术团队建议:
1.投票所用资金应在合约中锁定一定时间,避免使用账户的当前资金余额来统计投票数量,以避免可能出现的反复投票以及使用闪电贷进行投票;
2.项目方和社区应关注所有提案,如果提案是恶意提案,建议在提案投票期间应及时做出处理措施,将提案废弃,禁止其接受投票以及执行;
3.可考虑禁止合约地址参与投票;此外项目上线前最好进行全面的安全审计,规避安全风险。
撰文:凯尔短短5天的时间里,Moonbirds系列NFT在市场蹿红,这个由10000个装饰、形态各异的卡通猫头鹰组成的NFT系列,以超3.1亿美元的销售额登上交易榜首.
1900/1/1 0:00:00BV交易所于4月20日举办V时刻第三期直播活动。届时会有3辆特斯拉ModelY,10部iPhone13promax送出,更有50万USDT好礼和新西兰豪华深度游等你拿.
1900/1/1 0:00:00比特币掉头,短暂触及41,000美元,然后稳定在40,000美元的水平。不仅比特币上涨了近4%,整个全球加密货币市场也上涨了,当天所有主要的加密货币都上涨了.
1900/1/1 0:00:00随着看涨情绪的增强,全球加密货币市场继续增加价值,在过去24小时内增加了2.64%。比特币继续享受新的收益,增加了2.68%。以太坊也利用流入的资金,在过去24小时内增加了2.97%.
1900/1/1 0:00:00尊敬的用户:?BKEX现已完成SHAMAN智能合约置换,并将于2022年4月22日18:00恢复SHAMAN/USDT交易对交易功能.
1900/1/1 0:00:00Gate.ioDailyHODL&EarnETH#392willlaunchat4:00UTConApr22atGate.io''s“HODL&Earn”.
1900/1/1 0:00:00
月亮链