月亮链 月亮链
Ctrl+D收藏月亮链
首页 > 屎币 > 正文

BNB:卷土重来?黑客获利约130万美元 FEGexPRO合约被攻击事件分析_0XPROOF币

作者:

时间:1900/1/1 0:00:00

2022年5月16日,成都链安链必应-区块链安全态势感知平台舆情监测显示,Ethereum和BNBChain上FEGtoken项目的FEGexPRO合约遭受黑客攻击,黑客获利约3280?BNB?以及144ETH,价值约130万美元。成都链安技术团队对事件进行了分析,结果如下。

事件相关信息

本次攻击事件包含多笔交易,部分交易信息如下所示:

攻击交易?(部分)

0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063?(BNBChain)

meme NFT系列BlackRock总交易量已经达到398枚ETH:金色财经报道,meme NFT系列将流行的NFT系列EtherRock背后的理念与投资巨头贝莱德的非官方品牌相结合,其总交易量已经达到398枚ETH,即74.9万美元。该系列也称为BlackRock,是在BlackRock申请比特币ETF之后推出的。BlackRock meme系列拥有999个单独的NFT,地板价为0.245枚ETH,截至发布时价值约为462美元。该系列于2023年6月21日售罄。根据该集合的OpenSea简介,贝莱德与NFT项目没有任何关系。[2023/6/24 21:56:52]

0x1e769a59a5a9dabec0cb7f21a3e346f55ae1972bb18ae5eeacdaa0bc3424abd2?(Ethereum)

攻击者地址

0x73b359d5da488eb2e97990619976f2f004e9ff7c

攻击合约

0x9a843bb125a3c03f496cb44653741f2cef82f445

被攻击合约

0x818e2013dd7d9bf4547aaabf6b617c1262578bc7?(BNBChain)

美国债务上限协议提高了债务上限,限制了两年内的开支:金色财经报道,美国债务上限协议提高了债务上限,限制了两年内的开支。 此外,债务上限将使非国防支出在 2 年内保持接近持平,且协议中没有 2025 年后的预算上限。[2023/5/28 9:46:47]

0xf2bda964ec2d2fcb1610c886ed4831bf58f64948(Ethereum)

攻击流程

Ethereum和BNBChain上使用攻击手法相同,以下分析基于BNBChain上攻击:

1.攻击者调用攻击合约利用闪电贷从DVM合约(0xd534...0dd7)中借贷915.84WBNB,然后将116.81WBNB兑换成115.65fBNB为后续攻击做准备。

2.攻击者利用攻击合约创建了10个合约,为后续攻击做准备。

Binance Pay与拉美旅行社Despegar合作,将在阿根廷支持加密支付:3月8日消息,Binance Pay 与拉丁美洲旅行社 Despegar 达成合作,将在阿根廷接受加密货币作为支付方式,付款将通过 Binance Pay 进行,金融即服务平台 Inswitch 负责将加密货币转换为法定货币。

此外加密支付功能最初仅在阿根廷提供,但 Despegar 计划在未来向拉丁美洲其他国家推出这项服务。[2023/3/8 12:48:43]

3.攻击者接下来将兑换得到的fBNB代币抵押到FEGexPRO合约中。

4.?然后攻击者重复调用depositInternal和swapToSwap函数,让FEGexPRO合约授权fBNB给之前创建好的其他攻击合约。

LedgerX:已与Signature建立合作关系,不再使用Silvergate接收美国电汇:3月1日消息,根据FTX加密衍生品平台LedgerX发送给客户的电子邮件显示,该公司将不再使用Silvergate接收美国国内电汇,已经与Signature Bank建立了合作关系。FTX和相关实体在Silvergate和Signature都有账户,自FTX破产以来,Silvergate面临着来自立法者更严格的审查。

截至11月17日提交的文件,LedgerX持有约3.03亿美元现金,是FTX破产程序中为数不多的有偿付能力的子公司之一。LedgerX的初始投标于1月25日到期,将于3月7日举行拍卖,投标人尚未公开,但据称Blockchain.com、Gemini和Kalshi等加密参与者对竞标感兴趣。(彭博社)[2023/3/1 12:35:36]

5.?然后利用其他攻击合约调用transferFrom函数将FEGexPRO合约中fBNB全部转移到攻击合约中。

数据:2小时前有39327枚ETH从币安转移到地址0xb60...545c:金色财经报道,Tokenview数据显示,2小时前有39,327枚ETH从币安转移到地址0xb60...545c。[2022/9/21 7:11:38]

6.接下来又在LP交易对合约(0x2aa7...6c14)中借贷31,217,683,882,286.007211154FEG代币和423WBNB。

7.然后重复3、4、5步骤的攻击手法,将FEGexPRO合约中大量FEG代币盗取到攻击合约中。

8.然后归还闪电贷,将获得的WBNB转入攻击合约中完成此笔攻击。

9.此后,又利用相同的原理,执行了50余笔相同的攻击,最获利约144ETH和3280BNB。

漏洞分析

本次攻击主要利用了FEGexPRO合约中swapToSwap函数中path地址可控且合约中未对path地址进行有效性校验的漏洞。由于合约中depositInternal函数中更新用户余额时依赖于合约中当前代币余额,攻击者通过传入一个恶意的path地址,调用swapToSwap函数时合约中代币余额并未发生变化,导致攻击者可以反复重置攻击合约在FEGexPRO合约中记录的代币数量,从而让FEGexPRO合约将自身代币反复授权给攻击者所控制的多个恶意合约。

资金追踪

截止发文时,被盗资金仍在攻击者地址中并未转移。

总结

针对本次事件,成都链安技术团队建议:

项目开发时,应该注意与其他合约交互时可能存在的安全风险,尽量避免将关键参数设置为用户可控。如果业务需求如此,则需要严格判断用户输入的参数是否存在风险。此外建议项目上线前选择专业的安全审计公司进行全面的安全审计,规避安全风险。

标签:BNBETHFEGXPROBNB2.0价格ETH2feg币中文社区0XPROOF币

屎币热门资讯
加密货币:金色观察 | 多头卖出缓慢崩盘 加密市场何时止跌达到新平衡?_稳定币

比特币延续跌势,自2021年7月以来首次跌破30,000美元,在全球逃离高风险投资的情况下,比特币从11月的创纪录高位跌幅超过55%。与此同时,带动加密市场的全线下跌.

1900/1/1 0:00:00
NFT:NFT 当前价值所在及未来所向_以太坊最新价格人民币

NFT当前最主要的价值在于,授权艺术家、创作者和收藏家行使他们分发、转售和收藏的权利。 NFT艺术品《第一顿晚餐》以103.4ETH的价格成功拍卖NFT是数字资产吗?是的.

1900/1/1 0:00:00
WEB:如何把 Web2 用户的身份桥接到 Web3 ?_web3.0币种有哪些

转自公号:老雅痞本文探讨Web2如何过度到Web3生态系统的问题,以及身份如何在其中发挥重要作用。我认为Web3将会持续存在一段时间.

1900/1/1 0:00:00
比特币:一周必读10篇 | Web3 更应关注类型 而非去中心化程度_Web3 ALL BEST ICO

1.观点:Web3更应关注类型而非去中心化程度大多数典型的加密项目,如比特币,目前实现的"去中心化"就是我们所说的"分布式冗余":在许多地方对一个共同的、同质的数据集进行全球性的、开放的、基于共.

1900/1/1 0:00:00
UST:算法稳定币UST崩盘:是完美风暴还是金融围猎?_JUST Stablecoin

5月13日,原去中心化金融世界的第二大经济体Terra在这场史无前例的加密风暴中彻底失败。从5月8日到今天的5天时间里,Terra市值从原来近250亿美元跌至不到10亿.

1900/1/1 0:00:00
区块链:王永利:央行政策利率与市场基准利率_比特币

央行直接调节的是政策利率,由此间接影响而非直接决定市场利率。应避免把LPR的上调或下调说成是“央行上调或下调贷款基准利率”,或简单说成是央行加息或降息.

1900/1/1 0:00:00