2022年4月17日,算法稳定币项目BeanstalkDAO遭受黑客攻击,损失已达1.82亿美元,包括7900多万BEAN3CRV-f、163万BEANLUSD-f、3600万BEAN和0.54个UNI-V2_WETH_BEAN。启动入侵的初始资金已被撤回至SynapseProtocol,且大部分收益都被存入Tornado.cash。目前,该项目稳定币BEAN价格已经从约1美元跌至0.136美元,跌幅达86%。
BeanStalk是一个分散的基于信用的稳定币协议。该协议由三个相互连接的组件组成:去中心化价格预言机、去中心化治理系统和去中心化信贷工具。根据该项目的白皮书介绍,BeanStalk使用动态挂钩维护机制,定期将1Bean的价格超过其价值挂钩,而无需集中化或抵押要求。
Raydium漏洞补偿提案投票通过,将补偿因黑客攻击受损的投资者:据官方消息,Solana生态去中心化交易所Raydium的漏洞补偿提案以100%的支持率获得投票通过,该提案旨在补偿因12月15日黑客攻击而受损的投资者。
补偿资金来源于两部分,分别为1. 使用Squad的多签部署withdrawPNL并从金库收集PNL,所赚取的费用将用于回购RAY并存入指定地址。2. 运用金库资产来补偿黑客攻击造成的损失。
此前12月16日消息,Raydium多个资金池遭到攻击,总损失约为439.5万美元。[2023/1/3 22:23:23]
此次攻击事件距离AxieInfinity遭到黑客攻击损失6.25亿美元还不到一个月时间,Beanstalk受到了巨大的损失。这次的黑客攻击或源于前一天通过的BIP18,BIP18导致使用治理特权来抽干资金池的精心设计的代码来执行,黑客利用了Beanstalk的“投票合约中的票数是根据账户中的代币持有量来得到的”这一闪电贷漏洞完成了这次的攻击,并将获利的部分USDC转入了乌克兰加密捐赠地址。
声音 | 国际反钓鱼工作组主席:建议推广3FA身份验证 以减少黑客攻击:据Bitcoin Exchange Guide消息,最近,加密货币交易所黑客攻击频现,专家们正在考虑新的解决方案和实施,以提高用户在这些平台中的安全性。国际反网络钓鱼工作组(APWG)主席Dave Jevans建议推广3FA身份验证(三因素身份验证),以减少黑客攻击的可能。。[2019/5/16]
下面ArmorsCompanyLimited来具体分析一下黑客的攻击过程。
黑客从攻击的前一天发起了交易提案,提案通过以后将会从Beanstalk:BeanstalkProtocol合约中提取资金。首先黑客通过闪电贷换取了3.5亿个DAI、5亿个USDC、1.5亿个USDT、3200万个BEAN和1100万个LUSD作为资金储备。再将这些资金在Curve.fi对应交易对的交易池中添加为3Crv流动性代币,总量达到9.8亿个。接着用1500万个3Crv兑换成LUSD。又将3Crv代币兑换为BEAN3CRV-f用于投票,把3200万个BEAN和近2700万个LUSD添加流动性,这样就成功得到5900万个BEANLUSD-f流动性代币。
分析 | 2月仅发生6起黑客攻击事件但209万EOS偷跑引行业巨震:据PeckShield态势感知平台03月01日数据显示,过去一个月,EOS公链共计发生6起竞猜类游戏遭黑客攻击事件,开发者共计损失28,841.17个EOS。较之上月,2月份发生的黑客攻击事件明显变少,其中竞猜类游戏EOSPlaystation因假转账通知问题,一次损失了17,386个EOS,111alpha1111黑客团伙作案2次共计获利8,546个EOS。就DApp安全现状而言,DAppShield安全盾风控平台监测中的黑名单账户活跃度明显降低,包括新增攻击合约部署和异常获利等等,这和竞猜类DApp整体活跃度及流水下滑有直接关系。需要重点关注的是,2月份发生了曾被ECAF冻结的gm3dcnqgenes账户携209万EOS偷跑事件,截止目前,黑客已经向交易所转入了39.94万个EOS,价值近千万元。该事件暴露出EOS超级节点黑名单管控,赃款流进交易所应急响应等一系列社区治理低效问题,引发行业广泛讨论。[2019/3/1]
接着,黑客用BEAN3CRV-f和BEANLUSD-f来对提案发起投票,然后调用emergencyCommit进行紧急提交来执行提案,从而导致提案通过。经过以上一系列的操作,3600万个BEAN、8.75亿个BEAN3CRV-f、6000万个BEANLUSD-f以及0.54个UNI-V2,通过Beanstalk:BeanstalkProtocol合约转入了攻击合约。最后黑客将流动性移除并归还闪电贷,把多余的代币兑换为近2.5万个ETH持续转移至Tornado.Cash。
精选 | 谷歌计划制定更严格的开发者规则降低加密黑客攻击风险:据Coindesk消息,谷歌周一宣布,正在为Chrome扩展开发者制定更严格的规则,包括计划对Chrome处理请求广泛权限的扩展程序进行一系列更改,并且加强通过Chrome网上应用店分发扩展程序的开发人员的规则。此举应该可以降低加密黑客攻击和挖掘恶意软件的风险。[2018/10/2]
交易详细信息如图所示:
ETH被分批发送到Tornado.Cash:
Armors安全在此提醒:
首先,还是要对项目代码的安全审计提高重视,建议找行业内正规的安全公司进行全方位的代码审计,并定期检查更新,可使用实时的安全监测服务,避免出现安全风险。其次,项目方应避免使用账户的当前资金余额来统计投票数量,投票所用资金应在合约中设定锁定时间,避免出现可能的反复投票或使用闪电贷进行投票。对于恶意提案,项目方和社区应提高关注度及警惕性,可考虑禁止合约地址参与投票,并设立预警机制,对于恶意提案,需及时作出预警和处理,禁止恶意提案的投票通过和执行。
Armors安全机构成立于2017年,是行业最早成立的专业区块链安全机构之一。Armors是Polygon、BSC、Ethereum、Solana等公链审计合作伙伴,已为超过2000家区块链平台、交易所、钱包、DApp等机构和项目提供安全审计、渗透测试、跨链迁移、平台安全等各方面保障及服务。成立以来,Armors已为客户挽回超过32000个BTC的资产损失。
金色财经报道,4月5日,JunoNetwork开发贡献者dimi发推表示,CosmosHub将在接下来一周内激活Theta升级,其新增了链间账户模块,以提高Cosmos生态系统的互操作性.
1900/1/1 0:00:00所谓注意力经济,是将人类的注意力作为一种稀缺的资源并且运用经济学理论来进行运营。而诺贝尔奖获得者HerbertAlexanderSimon曾经指出:“在如今这种信息高速发展的时代中,注意力的价值.
1900/1/1 0:00:00金色财经消息,稳定币USDC发行方Circle宣布与贝莱德、FidelityManagement&Research、MarshallWace和FinCapital签署一项4亿美元融资协议.
1900/1/1 0:00:00尽管Opensea是目前NFT最主要的交易市场,但加密社区一直有个说法是,Opensea是一个web2.5的产品.
1900/1/1 0:00:00前言:关于朋克与亚文化亚文化最早出现在16世纪的英国,“圈地运动”导致大批农民涌入城市,形成了与精英群体格格不入的“流浪者亚文化”.
1900/1/1 0:00:00近几年,被称为“NFT”的数字藏品火遍全球。从实践看,如果把数字藏品仅当作线上交易的文创商品,由市场监管部门和知识产权部门监管,那是不够的.
1900/1/1 0:00:00