比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > SHIB > Info

Beanstalk Farms攻擊事件分析:惡意提案如何防范?-ODAILY_USD

Author:

Time:1900/1/1 0:00:00

2022年4月17日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,算法穩定幣項目BeanstalkFarms遭黑客攻擊,黑客獲利近8000萬美元,成都鏈安技術團隊第一時間對事件進行了分析,結果如下。

#1事件相關信息

攻擊交易

0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7

攻擊者地址

0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4

攻擊合約

0x79224bC0bf70EC34F0ef56ed8251619499a59dEf

被攻擊合約

BNB Beacon Chain預計將于7月19日進行張衡升級:7月12日消息,據官方消息,BNB Beacon Chain將于區塊高度328,088,888(預計于7月19日)進行張衡升級,本次升級引入了BEP-255,將在信標鏈上實施鏈上資產對賬,以提高安全性。[2023/7/12 10:51:09]

0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5

#2攻擊流程

1.攻擊者從攻擊的前一天發起了提案交易,提案通過會提取Beanstalk:BeanstalkProtocol合約中的資金。

Moonbeam與流動性抵押協議Lido合作,為Polkadot生態系統提供流動性質押:9月9日消息,波卡智能合約平臺Moonbeam已經與流動性抵押協議Lido合作,此次整合將使Lido能夠向Moonbeam及其由Kusama驅動的網絡Moonriver提供流動性質押。它允許Polkadot用戶質押他們的數字資產,同時仍然可以獲得質押頭寸的流動性,使持有人能夠有效地利用他們的加密資產。(Cryptopotato)[2021/9/9 23:13:42]

2.黑客通過閃電貸換取了350,000,000個DAI,500,000,000個USDC,150,000,000個USDT,32,100,950個BEAN和11,643,065個LUSD作為資金儲備。

Caribbean treasure已通過安全機構Armors審計上線:今日,幣安智能鏈Gamefi項目Caribbean treasure合約代碼已通過安全機構Armors的安全審計,Armors已出具關于相關智能合約安全審計報告。

Caribbean treasure是一款幣安智能鏈上的去中心化桌面RPG網頁游戲,具有產量農業功能和NFT,此外, 將于今晚20:18開啟質押挖礦,首期支持幣種:BTCB、ETH、WBNB、BUSD、USDC、DOT、UNI、AXS、CAKE、CBT。

Armors摩斯安全機構成立于2017年。截止目前,Armors已為超過2000家區塊鏈平臺、交易所、錢包、DApp等機構和項目提供安全審計、滲透測試、跨鏈遷移、平臺安全等各方面保障及服務。[2021/8/23 22:32:04]

3.黑客將2步驟的DAI,USDC,USDT資金在Curve.fiDAI/USDC/USDT交易池中添加為979,691,328個3Crv流動性代幣,用15,000,000個3Crv換來15,251,318個LUSD。

Moonbeam Network已升級測試網至Moonbase Alpha v6版本:2月19日消息,智能合約平臺Moonbeam Network官方宣布其測試網已完成升級至Moonbase Alpha v6版本。此次升級可讓外部整理人員參與到其網絡。此外,此次升級已為Moonbeam用戶添加測試網治理和抵押功能。[2021/2/19 17:28:30]

4.將964,691,328個3Crv代幣兌換為795,425,740個BEAN3CRV-f用于投票,將32,100,950個BEAN和26,894,383LUSD添加流動性得到58,924,887個BEANLUSD-f流動性代幣。

5.使用4步驟中的BEAN3CRV-f和BEANLUSD-f來對提案進行投票,導致提案通過。從而Beanstalk:BeanstalkProtocol合約向攻擊合約轉入了36,084,584個BEAN,0.54個UNI-V2,874,663,982個BEAN3CRV-f以及60,562,844個BEANLUSD-f。

6.最后攻擊者將流動性移除并歸還閃電貸,把多余的代幣兌換為24830個ETH轉入攻擊者賬戶中。

#3漏洞分析

本次攻擊主要利用了投票合約中的票數是根據賬戶中的代幣持有量得到的。

攻擊者至少在一天前發起提取Beanstalk:BeanstalkProtocol資金的提案,然后調用emergencyCommit進行緊急提交來執行提案,這個就是攻擊者1天之前發起攻擊準備的原因所在。

#4資金追蹤

截止發文時,攻擊者獲利22029601個USDC,14742429個DAI,6,603,829個USDT與0.5407個UNI-V2,640224美元的BAEN代幣資金近8000萬,在攻擊時將其中的25萬USDC捐贈了烏克蘭,之后攻擊者將資金轉換為ETH并將資金持續向Tornado.Cash轉移。

針對本次事件,成都鏈安技術團隊建議:

1.投票所用資金應在合約中鎖定一定時間,避免使用賬戶的當前資金余額來統計投票數量,以避免可能出現的反復投票以及使用閃電貸進行投票;

2.項目方和社區應關注所有提案,如果提案是惡意提案,建議在提案投票期間應及時做出處理措施,將提案廢棄,禁止其接受投票以及執行;

3.可考慮禁止合約地址參與投票;此外項目上線前最好進行全面的安全審計,規避安全風險。

Tags:BEAUSDMOOMOONMRBEANgusd幣最新消息MOO價格ETHMOON

SHIB
怎么向別人解釋你買的NFT?-ODAILY_TOKEN

跌!跌!跌!俄烏戰爭,好像飛機大炮轟炸的是我們的各種金融資產賬戶。NFT全球交易額更是跌到了冰點,據數據顯示2022年1月NFT月度交易額突破44億美金,日均交易額達1.43億美金,活躍買家數量.

1900/1/1 0:00:00
Euterpe獲香港頭部金融交易所生態基金投資-ODAILY_TER

版權NFT交易平臺Euterpe今日宣布獲得HKICEx(香港國際商品交易所)投資。HKICEx隸屬于HKFAEx。香港金融資產交易集團是香港三大交易所之一.

1900/1/1 0:00:00
未來的公司,「DAO」是什么?-ODAILY_DAO

近來,一些DAO組織正在逐漸吸引加密市場的視線,DAO的優勢在于其全球性、匿名性、透明公開等、去中心化等特性,通過區塊鏈技術解決了人與人之間信任的問題.

1900/1/1 0:00:00
2022 DAO研究更新:DAO建設者需要什么?-ODAILY_EFI

我們最新研究的三個關鍵見解DAO的發展速度可能比歷史上任何行業都快。12個月前,DAO總共持有5億美元,現在擁有超過110億美元。這個空間充滿了新的用例,并吸引了來自各背景的建設者.

1900/1/1 0:00:00
加密資產屬于證券嗎?-ODAILY_GAN

加密資產是證券嗎?對于這個核心問題的答案將對加密行業產生許多影響,從監管和合規到內幕交易執法等方面.

1900/1/1 0:00:00
Orca for Everyone, Part II 進入DeFi世界-ODAILY_DEFI

歡迎回到“Orcaforeveryone”!回到Part1,我們展示了開始加密的基礎知識——創建一個中心化交易所的賬戶(一個像Coinbase或FTX的“CEX”).

1900/1/1 0:00:00
ads