月亮链 月亮链
Ctrl+D收藏月亮链
首页 > DOGE > 正文

RUM:Arbitrum公链又一项目发生Rug Pull 涉及金额约300万美元_arbitrum币圈名称

作者:

时间:1900/1/1 0:00:00

2022年5月19日,据Beosin-Eagle Eye态势感知平台消息,Arbitrum公链上项目Swaprum项目疑是发生Rug Pull,涉及金额约300万美元。

Beosin安全团队第一时间对事件进行了分析,发现了项目方部署的流动性抵押奖励池存在后门,项目方(Swaprum: Deployer)利用了add()后门函数盗取了用户抵押的流动性代币,以达到移除交易池子的流动性获利的目的。

事件相关信息

攻击交易(由于存在大量的攻击交易,这里仅展示部分)

Hop Protocol已支持Arbitrum One和Arbitrum Nova之间的桥接:金色财经报道,Arbitrum发推表示,Hop Protocol已支持Arbitrum One和Arbitrum Nova之间的桥接。[2023/7/26 16:00:38]

攻击者地址

0xf2744e1fe488748e6a550677670265f664d96627(Swaprum: Deployer)

漏洞合约

0x2b6dec18e8e4def679b2e52e628b14751f2f66bc

(TransparentUpgradeableProxy Contract)

基于Arbitrum的链上衍生品DEX Aark Digital完成种子轮融资:7月13日消息,基于Arbitrum的链上衍生品DEX Aark Digital完成种子轮融资,具体金额未披露,Delphi Digital领投,OKX Ventures、Big Brain Holdings和Keyrock参投,新资金将用于开发新功能。注,Aark专为专业交易者打造,可提供杠杆LP和超长尾资产杠杆交易,同时推出新AMM架构PMM,可反映来自OKX和币安等CEX订单簿的真实流动性,以降低交易过程对价格和流动性的影响。[2023/7/13 10:52:09]

0xcb65D65311838C72e35499Cc4171985c8C47D0FC

Ribbon Finance:已于上周偿还Arbor Finance上所有剩余债务:12月7日消息,链上结构化产品Ribbon Finance在推特上表示,已于上周成功偿还Arbor Finance上所有剩余债务。此前6月,Ribbon DAO发行了300万美元的债务,以积极发展Ribbon生态系统。[2022/12/7 21:28:39]

(Implementation Contract)

为了方便展示我们以其中两笔交易为例:

https://arbiscan.io/tx/0x36fef881f7e9560db466a343e541072a31a07391bcd0b9bcdb6cfe8ae4616fc0(调用add后门函数盗取流动性代币)

Arbitrum网络每笔交易的Gas费降至0.18美元:金色财经消息,L2Fees数据显示,目前Arbitrum网络进行每笔交易的平均Gas费用约为0.18美元,此外Arbitrum网络发送ETH的Gas费用约为0.11美元。[2022/7/18 2:19:41]

https://arbiscan.io/tx/0xcb64a40d652ff8bfac2e08aa6425ace9c19f0eeb4a6e32f0c425f9f9ea747edf(移除流动性获利)

1. Swaprum项目方(Swaprum: Deployer)通过调用TransparentUpgradeableProxy 合约的add()后门函数盗取用户质押在TransparentUpgradeableProxy 合约的流动性代币。

2.通过将实现合约反编译后,add()函数确实存在后门。该后门函数会将合约中的流动性代币转账给_devadd地址[通过查询_devadd地址,该地址返回为Swaprum项目方地址(Swaprum: Deployer)]。

3.Swaprum项目方(Swaprum: Deployer)利用第一步盗取的流动性代币移除流动性代币从而获取大量的利益。 

4.值得注意的是,项目方原本的流动性抵押合约并无漏洞,而是通过升级的方式将正常的流动性抵押奖励合约

(https://arbiscan.io/address/0x99801433f5d7c1360ea978ea18666f7be9b3abf7#code)

替换为了含有后门的流动性抵押奖励合约

(https://arbiscan.io/address/0xcb65d65311838c72e35499cc4171985c8c47d0fc#code)

本次攻击主要原因是Swaprum项目方利用了代理合约可切换实现合约的功能,将正常的实现合约切换至存在后门函数的实现合约,从而后门函数盗取了用户抵押的流动性资产。

截止发文时,Beosin KYT反分析平台发现被盗的约1628个ETH(约300万美金)资金已跨链至以太坊上,并且向Tornado Cash存入了1620个ETH。

Beosin

企业专栏

阅读更多

金色荐读

金色财经 善欧巴

迪新财讯

Chainlink预言机

区块律动BlockBeats

白话区块链

金色早8点

Odaily星球日报

Arcane Labs

欧科云链

标签:RUMARBARBIRBIUtrumgearbox币持续走低arbitrum币圈名称sharbi币总量

DOGE热门资讯
STR:金色观察丨GBTC母公司陷入困境 MicroStrategy风险如何_比特币

文/Blockworks Research;译/金色财经xiaozouMSTR的债务结构是怎样的?MSTR是否有比特币清算价格?如果有.

1900/1/1 0:00:00
区块链:金色观察丨2022年各大机构加密布局盘点_比特币全球市值排名

按:2022年虽然是加密市场进入熊市,而且LUNA、三箭、FTX、BlockFi等中心化机构陆续发生暴雷。但其实,各领域的头部机构和公司在急剧进入加密货币领域.

1900/1/1 0:00:00
比特币:法媒:泄露5亿用户数据 “元宇宙”被欧洲监管机构罚款2.65亿欧元_ETH

据法新社都柏林28日报道,在5亿多用户的详细信息在一家黑客网站遭泄露后,爱尔兰数据监管机构当地时间28日对脸书的母公司“元宇宙”公司处以2.65亿欧元(约合2.75亿美元)的罚款.

1900/1/1 0:00:00
区块链:平衡 AI/ML的力量:ZK 和区块链的作用_2019cnn币发展

作者:Hill Tan , Grace Deng;SevenX Ventures Research对于我们这些生活在加密货币之下的人来说,人工智能已经火了一段时间.

1900/1/1 0:00:00
BSP:解读比特币Ordinals协议与BRC20标准的原理创新与局限_SAT

“The Times 03/Jan/2009 Chancellor on brink of second bailout for banks.

1900/1/1 0:00:00
SLOT:从ERC20、721、1155到3525 详述RWA迈向Web3 Mass Adoption之路_ALU币

自 2008 年区块链技术诞生以来,加密市场到如今经历了飞速的发展。然而,整个加密市场的总市值到目前为止还没有整个苹果公司的市值高,并且 Web3 仍然缺乏在现实世界中的实际应用.

1900/1/1 0:00:00