北京時間2022年5月16日凌晨4:22:49,CertiK安全技術團隊監測到FEG在以太坊和BNB鏈上遭受大規模閃電貸攻擊,導致了價值約130萬美元的資產損失。
此攻擊是由“swapToSwap()”函數中的一個漏洞造成的,該函數在未對傳入參數進行篩查驗證的情況下,直接將用戶輸入的"path"作為受信任方,允許未經驗證的"path"參數來使用當前合約的資產。
因此,通過反復調用"depositInternal()"和"swapToSwap()",攻擊者可獲得無限制使用當前合約資產的許可,從而盜取合約內的所有資產。
澳大利亞資產管理公司加密貨幣基金獲運營許可證,將直接持有相關加密資產:金色財經報道,澳大利亞資產管理公司Monochrome Asset Management的現貨加密貨幣交易所交易基金(ETF)獲得該國第一個金融服務許可證(AFSL)。該公司首席執行官Jeff Yew在接受采訪時表示,AFSL的批準意義重大,因為在此之前,澳大利亞獲批的加密貨幣ETF只能在常規的金融資產授權下運作,而且只能間接持有加密貨幣資產。
Yew指出,Monochrome的加密ETF將直接持有相關加密資產,并由澳大利亞證券和投資委員會(ASIC)特別授權。(Cointelegraph)[2022/8/18 12:33:57]
受影響的合約地址之一:https://bscscan.com/address/0x818e2013dd7d9bf4547aaabf6b617c1262578bc7
加密貨幣總市值約為2248.99億美元:金色財經報道,加密貨幣總市值約為2248.99億美元。加密貨幣市場中占比排名第一的是比特幣,市值約合1421億美元,當前市值占比為63.18%;以太坊排名第二,市值約為217億美元,市值占比為9.66%;瑞波幣排名第三,總市值約為92億美元,市值占比為4.08%。[2020/4/28]
漏洞交易
漏洞地址:https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c
漏洞交易樣本:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063
動態 | Caspian將為Tyr Capital管理和維持加密貨幣基金日常運營:據Globe Newswire消息,加密資產管理平臺Caspian今日宣布與Tyr Capital合作,將為Tyr Capital管理和維持其加密貨幣基金日常運營。[2019/5/8]
被盜資金追蹤:https://debank.com/profile/0x73b359d5da488eb2e97990619976f2f004e9ff7c/history
相關地址
攻擊者地址:https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c
攻擊者合約:https://bscscan.com/address/0x9a843bb125a3c03f496cb44653741f2cef82f445
聲音 | eToro高級分析師:加密市場與股票市場短期相關性越來越弱:據CCN報道,美國股市在周五開盤前繼續上漲,道指上漲三位數,其姐妹指數同樣看漲。然而,隨著加密貨幣市場表現出缺乏信念,比特幣加入當天上漲隊伍的勢頭很小。eToro高級市場分析師Mati Greenspan表示,股市反彈并沒有延伸到比特幣或其他加密貨幣,他們對更廣泛的金融市場正在發生的事情越來越“冷漠”。比特幣和黃金,美元和股市之間的短期相關性都已接近零。[2019/1/18]
FEG代幣地址:https://bscscan.com/token/0xacfc95585d80ab62f67a14c566c1b7a49fe91167
FEGWrappedBNB(fBNB):https://bscscan.com/address/0x87b1acce6a1958e522233a737313c086551a5c76#code
歷史上的今天 | 新加坡金融管理局提示公眾投資加密貨幣的重大風險:1.2017年12月19日,韓國比特幣交易所Youbit因遭遇黑客攻擊而申請破產保護,黑客總共盜取了這家交易所17%的資產,這是這家比特幣交易所不到8個月內經歷的第二次黑客攻擊。
2.2017年12月19日,新加坡金融管理局發布新聞提示公眾投資加密貨幣的重大風險。MAS提醒公眾加密貨幣不是法定貨幣。它們不是由任何政府發行,也不受任何資產或發行人的支持。
3.2017年12月19日,BCH市值持續大漲,很多BCH的支持者認為其能夠引發加密貨幣史上最嚴重的“動亂”,認為其市值能夠沖到第一位。但最終在BCH價格達到0.25BTC的時候宣告結束。
4.2017年12月19日,日本最大的二手車汽車集團之一Idom宣布,其進口二手車連鎖店Liberala即將開始接受比特幣。同時該公司還與該國最大的加密貨幣交易所Bitflyer合作,在日本各地的經銷商處開展比特幣支付業務。[2018/12/19]
攻擊步驟
以下攻擊流程基于該漏洞交易:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063
①攻擊者借貸915WBNB,并將其中116BNB存入fBNB。
②攻擊者創建了10個地址,以便在后續攻擊中使用。
③攻擊者通過調用"depositInternal()"將fBNB存入合約FEGexPRO。
根據當前地址的余額,"_balances2"被增加。
④攻擊者調用了"swapToSwap()",路徑參數是之前創建的合約地址。
該函數允許"path"獲取FEGexPRO合約的114fBNB。
⑤攻擊者反復調用"depositInternal()"和"swapToSwap()",允許多個地址獲取fBNB代幣,原因如下:
每次"depositInternal()"被調用,_balance2將增加約114fBNB。
每次"swapToSwap()"被調用,攻擊者所創建合約能獲取該114fBNB的使用權限。
⑥由于攻擊者控制了10個地址,每個地址均可從當前地址花費114個fBNB,因此攻擊者能夠盜取被攻擊合約內的所有fBNB。
⑦攻擊者重復步驟④⑤⑥,在合約內耗盡FEG代幣。
⑧最后攻擊者出售了所有耗盡的資產,并償還閃電貸款,最終獲取了其余利潤。
資產去向
截至2022年5月16日6:43,被盜資金仍存儲在以太坊和BSC鏈上的攻擊者錢包中。
原始資金來自以太坊和BSC的Tornadocash:https://etherscan.io/tx/0x0ff1b86c9e8618a088f8818db7d09830eaec42b82974986c855b207d1771fdbe
https://bscscan.com/tx/0x5bbf7793f30d568c40aa86802d63154f837e781d0b0965386ed9ac69a16eb6ab
攻擊者攻擊了13個FEGexPRO合約,以下為概覽:
寫在最后
本次攻擊事件本可通過安全審計來有效地避免。
CertiK安全專家認為審計過程中可以檢查出該風險——不受信任的"path"參數被傳遞到協議中,并獲取合約資產支出的權限。審計專家會將該風險歸類于主要風險級別,此外,如果進行更深層次的挖掘,還可列明被利用的多種可能。
盡管當下加密市場正在經歷史上最嚴酷的“寒冬”,但仍能看到市場也釋放了一些積極信號,比如:加密資產在全球采用率的持續增長、加密平臺逆勢擴張等.
1900/1/1 0:00:00DAOrayaki上線了新的bounty版本,新版本中,整個過程將不再使用GitHub,讓大家能更方便地參與進來。所以,我們在此為大家介紹調整之后的新bounty參與流程.
1900/1/1 0:00:00ETF是指交易所交易基金,全稱為交易型開放式指數證券投資基金。與一般基金產品不同,ETF的價格需追蹤特定指數或資產價格并與其保持錨定關系.
1900/1/1 0:00:00據官方消息,交易平臺PrimeXBT現已支持TRC20-USDT和TRC20-USDC。 CF Private Equity準備推出區塊鏈專用基金,預計籌款1億美元:金色財經報道,根據8月初向S.
1900/1/1 0:00:008月3日,成都鏈安鷹眼-區塊鏈安全態勢感知平臺輿情監測顯示,Solana發生大規模盜幣事件,截止發稿前,有近1萬多個Solana錢包地址遭受攻擊.
1900/1/1 0:00:00作者于2007年前在金山軟件先后負責計算機反病產品和數字娛樂事業部,其后創辦藍港互動專注于從事游戲設計制作及發行,從PC端游、網頁游戲到手機游戲,直至2014年香港上市.
1900/1/1 0:00:00