2月10日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,DeFi應用DegoFinance遭到黑客攻擊,UniSwap和PancakeSwap上的DEGO流動性已被耗盡。關于本次攻擊,成都鏈安技術團隊第一時間進行了資金流向分析。
#1事件概覽
據悉,DegoFinance于2020年9月啟動,以打造可持續性和實用性的NFT生態系統為目標,打造了NFT+DeFi平臺。有人說,在DeFi的世界里,DEGO就相當于樂高。將每一個DeFi協議當作是一塊磚,包括穩定幣(DAI)、借貸(Aave,Compound)、去中心化交易所DEX(UniswapandBalancer)、衍生品(Synthetix)和保險(NexusMutual)等等。2月10日,DegoFinance官方推特發布公告稱被黑客攻擊,DeFi世界的樂高就這樣“塌了”!
衍生品交易平臺Syndr成為首個Arbitrum Orbit Chain生態DeFi協議:6月26日消息,衍生品交易平臺Syndr日前宣布基于Arbitrum Layer3 Orbit Chain推出測試網,并成為首個Arbitrum Orbit Chain生態DeFi協議。Syndr將利用L3 Rollup鏈具有的高性能,高擴展性為用戶提供低延遲的衍生品交易平臺。[2023/6/26 22:00:14]
本次攻擊涉及多個賬戶地址私鑰泄露,黑客利用私鑰提取了多個鏈上的資產,具體分析請接著往下閱讀。#2事件具體分析
我們以ETH鏈上攻擊為例,對Dego項目方其中一個地址的資金流向做了詳細分析。首先,項目方私鑰泄露的DEGO.Finance:Deployer地址為:0x20FE4B1eD95911487499e53355BB8f14a881D735攻擊者地址為:0x118203B0f2A3ef9e749D871C8fEF5e5e55ef5C911攻擊者通過私鑰,使用minter權限分別向DEGO.Finance:Deployer賬戶和0x118賬戶鑄造了592,582.35個dego代幣。
a16z正在為其DeFi投資尋找代幣委托人:金色財經報道,風險投資公司Andreessen Horowitz(a16z)正在為其DeFi投資尋找代幣委托人,其DeFi投資包括去中心化交易所Uniswap和貸款協議Compound。根據a16z的Alex Kroeger的推文,已邀請有興趣的參與者通過谷歌表單填寫申請。根據申請,a16z還在為其在去中心化衍生品交易所dYdX和穩定幣平臺Maker和Fei中的份額尋求代表。據悉,代幣委托是去中心化金融中的一個過程,治理代幣的持有者將其相應的投票權外包給第三方,減少了早期投資者和創始人的投票權。A16z現有的Uniswap和Compound代幣委托人包括大學組織、非營利組織、初創公司和社區領袖,如哈佛法學院的區塊鏈和金融科技計劃、Kiva、Gauntlet和Getty Hill。[2021/9/11 23:17:09]
波卡DeFi平臺Acala宣布Karura Crowdloan已上線:波卡DeFi平臺Acala先行網在推特宣布Karura Crowdloan已經上線。[2021/6/9 23:23:14]
2之后移除ETH-dego交易池的流動性。
3攻擊者通過DEGO.Finance:Deployer賬戶移除流動性獲取了269,502個dego代幣和378個ETH。
Bridge Mutual 技術顧問Frank Cui:Bridge Mutual團隊實力雄厚 為用戶提供更優質DeFi保險服務:2021年04月26日晚,由Gate.io主辦的直播專訪節目《酒局幣赴》邀請到Bridge Mutual 技術顧問Frank Cui直播分享近期最新發展。直播期間Alexander與Gate.io合伙人酒兒就Bridge Mutual的發展及其相關事項進行了探討與交流。
Frank Cui表示,Bridge的CTO和開發團隊是世界頂級的智能合約安全和審計專家 (為Yearn Finance $YFI、BadgerDAO等許多知名DeFi項目提供審計或技術支持的開發人員),有著強大的技術背景。團隊通過不懈努力成功打造出Bridge Mutual——一個去中心化的、DAO治理的、無需許可的、點對點的保險協議和交易平臺,允許用戶為智能合約、中心化交易所、穩定幣和其他中心化加密服務提供商(如托管) 提供或購買保險。Bridge系統有許多獨特之處,其中之一是,用戶無需許可就可以向Bridge平臺添加任何智能合約,同時為其購買或提供保險 (類似Uniswap)。更多產品將在今年下半年問世,敬請期待。[2021/4/26 21:00:59]
4然后將DEGO.Finance:Deployer賬戶獲取的378個ETH轉給了0x118地址。
同時,該黑客轉移原本屬于項目方地址的441個yvWETH給0x118地址。此時0x118賬戶上有獲利的750.37個ETH和其他轉入的7.10個ETH一共757.4個。
截止目前發文,在Ethereum鏈上,攻擊者在0x118地址將441個yvWETH轉入Zapper.Fi:YearnyVaultZapOut兌換了445個ETH,獲取共1202個ETH,轉入Tornado.Cash:Proxy400ETH。向0x47a344588653efA88eB6D58433B6A2A5E202D65d地址轉入202個ETH。
在Cronos鏈上,在0x118地址獲取了196256.7個USDT和199401.9個USDCoin,還未轉出。
在BSC鏈上,獲取3736.17個BNB,通過代幣兌換獲取9188個BNB。向0x47a344588653efA88eB6D58433B6A2A5E202D65d地址轉入了12,741個BNB。
三條鏈上0x118地址總計約17,627,676美元,目前,官方稱正在調查原因并試圖挽回損失。隨著DeFi的不斷發展,DeFi項目的安全問題也愈發緊急。對比于傳統金融,DeFi的底層靠的是智能合約,本質上是程序,程序擁有傳統金融不可比擬的高效性和便捷性,但也存在傳統金融無需考慮的代碼漏洞問題。所以成都鏈安建議大家,對未公開智能合約和審計報告的項目,要保持警惕,項目方也需要避免私鑰泄露,導致項目受損。擴展閱讀:純干貨分享|DEFI安全問題之基礎篇當DeFi淪為黑客的“提款機”,我們如何保證它的安全性?
“世界上第一次加密戰爭”,這是《華盛頓郵報》給俄烏戰爭的描述。 我有一個不成熟的預感:烏克蘭戰事一定程度上會改寫或加速Crypto的歷史進程.
1900/1/1 0:00:00NFT數據日報是由Odaily星球日報與NFT數據整合平臺NFTGO.io合作的一檔欄目,旨在向NFT愛好者與投資者展示近24小時的NFT市場整體規模、交易活躍度、子領域市占比.
1900/1/1 0:00:00注:本文是僅是一個旁觀者的敘述,本文所提到的Hacker,主要是指沉迷于密碼學和網絡安全方面的計算機科學家。 印刷術的出現,變革了中世紀的社會結構,密碼學也會重塑新的社會結構.
1900/1/1 0:00:00如果有人要我簡化人生的旅程,我會說這是一個漫長的決策旅程。在這種情況下,我所做的每一個決定都會將路線轉向其他地方,這些決定會共同改變未來的結果.
1900/1/1 0:00:00相關閱讀: 全方位解讀AxieInfinity:GameFi社區收益達到150億美元之路 AxieInfinity即將達到1000萬的玩家數量,可以說是當今最火爆的區塊鏈應用之一.
1900/1/1 0:00:00本文來自微信公眾號FastDaily。 與加密貨幣教授TonyaEvans一起揭開互聯網法律的神秘面紗本文整理自TheVergeDecoder特色欄目.
1900/1/1 0:00:00