月亮链 月亮链
Ctrl+D收藏月亮链
首页 > MEXC > 正文

USD:黑客获利近8000万美元 恶意提案如何防范?_BNBeanstalk

作者:

时间:1900/1/1 0:00:00

2022年4月17日,成都链安链必应-区块链安全态势感知平台舆情监测显示,算法稳定币项目BeanstalkFarms遭黑客攻击,黑客获利近8000万美元,成都链安技术团队第一时间对事件进行了分析,结果如下。

1事件相关信息

攻击交易

0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7

攻击者地址

0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4

攻击合约

0x79224bC0bf70EC34F0ef56ed8251619499a59dEf

被攻击合约

0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5

Scopescan:Earning.Farm协议被盗,黑客获利283枚WETH:8月9日消息,据Scopescan监测,Earning.Farm协议被盗金额为283 ETH。黑客从Tornado cash收到10枚ETH,创建了攻击合约,并获利283枚WETH(价值约合52.7万美元)。

此前消息,Earning.Farm遭重入攻击,损失154枚WETH。[2023/8/9 21:34:25]

2攻击流程

1.攻击者从攻击的前一天发起了提案交易,提案通过会提取Beanstalk:BeanstalkProtocol合约中的资金。

Beosin:Arcadia Finance项目遭受攻击,黑客获利约45万美元:金色财经报道,7月10日,Beosin EagleEye监测显示,链上保证金协议Arcadia Finance项目遭受黑客攻击,黑客获利约45万美元。[2023/7/10 10:45:30]

2.黑客通过闪电贷换取了350,000,000个DAI,500,000,000个USDC,150,000,000个USDT,32,100,950个BEAN和11,643,065个LUSD作为资金储备。

3.黑客将2步骤的DAI,USDC,USDT资金在Curve.fiDAI/USDC/USDT交易池中添加为979,691,328个3Crv流动性代币,用15,000,000个3Crv换来15,251,318个LUSD。

安全团队:BNB Chain上加密项目ORT被利用,黑客获利约7万美元:金色财经报道,据区块链安全审计公司Beosin监测显示,BNBChain上的加密项目ORT被利用,黑客获利约7万美元。其中黑客首先调用INVEST函数,这个函数会调用_Check_reward函数来计算用户的奖励,但是黑客的duration变量为0,所以会直接返回total_percent变量作为reward参数,然后黑客调用withdraw And Claim函数提取奖励,获取total_percent数量的ORT代币,重复上述步骤获利。[2023/1/17 11:16:02]

DeFi借贷协议YEED遭受攻击,黑客获利百万却被永久锁定:4月22日消息,据欧科云链链上天眼监测,近期BSC上刚上线ZEED生态系统的DeFi借贷协议YEED遭受攻击,攻击者获利逾100万美元。

经链上天眼团队追踪分析,此次攻击,黑客将闪电贷借来的资金直接tranfer给YEED-USDT流动性池,触发其分配逻辑,其调用流动性池的skim接口,将池子原有的$YEED一并提取出来。黑客将skim出来的资产接收地址设置为流动性池地址,会自动再次触发transfer逻辑。攻击者用三个流动性池循环操作了300多次,最终将获利的$YEED资产转移到恶意合约,并兑换成USDT。

但较为乌龙的是,在攻击成功后的15秒后,黑客在还未将获利所得提走时便直接调用了合约的自毁函数,导致该笔资金将永远锁定在其攻击合约里。[2022/4/22 14:40:58]

Visor Finance攻击事件报告:黑客获取了管理帐户访问权限:基于Uniswap V3的DeFi流动性协议Visor Finance就此前发生的攻击事件发布报告称,攻击者获得了一个管理帐户的访问权限,能够从尚未存入流动性提供者头寸的存款中提取资金。报告称,被盗金额约占其300万美元TVL的16.7%(约合50万美元),并证实该黑客并非团队成员,因此对其紧急提款保障措施缺乏充分了解,被盗资金仅限于未配置的资产。(BeInCrypto)[2021/6/21 23:53:12]

4.将964,691,328个3Crv代币兑换为795,425,740个BEAN3CRV-f用于投票,将32,100,950个BEAN和26,894,383LUSD添加流动性得到58,924,887个BEANLUSD-f流动性代币。

5.使用4步骤中的BEAN3CRV-f和BEANLUSD-f来对提案进行投票,导致提案通过。从而Beanstalk:BeanstalkProtocol合约向攻击合约转入了36,084,584个BEAN,0.54个UNI-V2,874,663,982个BEAN3CRV-f以及60,562,844个BEANLUSD-f。

6.最后攻击者将流动性移除并归还闪电贷,把多余的代币兑换为24830个ETH转入攻击者账户中。

3漏洞分析

本次攻击主要利用了投票合约中的票数是根据账户中的代币持有量得到的。

攻击者至少在一天前发起提取Beanstalk:BeanstalkProtocol资金的提案,然后调用emergencyCommit进行紧急提交来执行提案,这个就是攻击者1天之前发起攻击准备的原因所在。

4资金追踪

截止发文时,攻击者获利22029601个USDC,14742429个DAI,6,603,829个USDT与0.5407个UNI-V2,640224美元的BAEN代币资金近8000万,在攻击时将其中的25万USDC捐赠了乌克兰,之后攻击者将资金转换为ETH并将资金持续向Tornado.Cash转移。

针对本次事件,成都链安技术团队建议:

1.投票所用资金应在合约中锁定一定时间,避免使用账户的当前资金余额来统计投票数量,以避免可能出现的反复投票以及使用闪电贷进行投票;

2.项目方和社区应关注所有提案,如果提案是恶意提案,建议在提案投票期间应及时做出处理措施,将提案废弃,禁止其接受投票以及执行;

3.可考虑禁止合约地址参与投票;此外项目上线前最好进行全面的安全审计,规避安全风险。

标签:USDBEATALANSusdd币价格The BeaconCrystal Of DragonBNBeanstalk

MEXC热门资讯
NFT:全链NFT时代正式开启:是否会让以太坊的影响进一步扩大_ZERO

什么是全链NFT?全链NFT相信是大家最近听过最多的概念,但,什么是全链NFT?全链NFT对于以太坊来说又意味着什么。在过去的几周里,这个概念刚刚开始涌入加密经济的讨论中.

1900/1/1 0:00:00
DEFI:金色观察 | DeFi 需要什么才能成为主流?_Mooni DeFi

DeFi仍然是加密货币的狂野西部,它令人困惑和以及复杂。甚至损失资金也被看作是交易者的一种仪式感,他们面临着、拉锯战以及丢失或打错私钥的风险.

1900/1/1 0:00:00
BAY:4万起家 一年后估值40亿 Yuga Labs会成为WEB3.0的迪士尼吗?_BAYC

YugaLabs的新愿景是致力于打破文化和Web3.0的沟壑,并将继续打造新IP、收购老IP。近期,一则融资消息轰动了整个区块链圈:YugaLabs以40亿美元估值完成4.5亿美元融资,创下NF.

1900/1/1 0:00:00
虚拟资产:香港资产管理公司MaiCapital计划将加密基金业务规模扩大至 2 亿美元_Citadel

金色财经报道,中国香港证监会允许获得证券及期货事务监察委员会(SFC)许可的区块链和虚拟资产管理公司可以管理可能包含高达100%虚拟资产的投资组合.

1900/1/1 0:00:00
ISD:金色观察|新风投之王Chris Dixon 2022年投了哪些项目?_wisdomisthewealthofthewise

近日,美国《福布斯》杂志发布了最新的“2022迈达斯榜单”。榜单名取自能够点石成金的迈达斯王神话,又被称为“金手指”榜单,素有投资界奥斯卡之称.

1900/1/1 0:00:00
CER:CertiK:山寨代币假NYM及一系列欺诈项目清单_VRES

北京时间2022年4月16日18时,CertiK安全团队监测到某欺诈者利用了NYM项目的知名度,创建了NYM同名代币。该欺诈项目导致了12.72枚BNB受到损失.

1900/1/1 0:00:00