比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > FIL > Info

卷土重來?黑客獲利約130萬美元 FEGexPRO合約被攻擊事件分析_BNB

Author:

Time:1900/1/1 0:00:00

2022年5月16日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,Ethereum和BNB Chain上FEGtoken項目的FEGexPRO合約遭受黑客攻擊,黑客獲利約3280?BNB?以及144 ETH,價值約130萬美元。成都鏈安技術團隊對事件進行了分析,結果如下。

事件相關信息

本次攻擊事件包含多筆交易,部分交易信息如下所示:

攻擊交易?(部分)

0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063?(BNB Chain)

Fuel升級FuelVM:提高網絡TPS、增強EVM互操作性并優化開發體驗:8月11日消息,模塊化執行層 Fuel 表示通過升級增強了 FuelVM,顯著提高了其性能和安全性,具體更新包括:

1、合約現在可以鑄造無限類型的代幣;

2、添加了對新加密簽名類型的支持:包括 secp256r1 和 ed25519 (strict);

3、Fuel 增加了對 256 位 bit 數字的原生支持,以使其更便宜地進行大型數學運算,并提高與 EVM 的互操作性;

4、刪除了嵌套調用數量的限制,使開發人員能夠創建更多可組合的應用;

5、可并行 predicate 驗證使網絡和內存池可以處理更多交易,從而提高網絡的 TPS;

6、WASM Bindgen 支持 fuel-types 和 fuel-asm,統一 Rust 和 TypeScript SDK 代碼庫,從而實現快速的開發過程,并減少因不同實現而出現的錯誤。[2023/8/11 16:19:47]

0x1e769a59a5a9dabec0cb7f21a3e346f55ae1972bb18ae5eeacdaa0bc3424abd2?(Ethereum)

L2網絡協議Milkomeda已完成主網C1最新橋接合約V5部署:5月20日消息,Layer 2網絡協議Milkomeda在社交媒體宣布已完成主網C1最新橋接合約V5的部署,據悉目前橋接驗證者已經開始更新自己的橋接軟件。

部署V5橋接合約是Milkomeda主網C1過渡到V2版本的關鍵步驟之一,V2版本將包括封裝智能合約、流動性質押、救助金庫聚合器、新版驗證者軟件等功能,還將推出多個dApp。

去年10月,Milkomeda完成310萬美元融資,Archetype領投,Algorand基金會、Circle Ventures和Coinbase Ventures等參投。[2023/5/20 15:15:11]

攻擊者地址

0x73b359d5da488eb2e97990619976f2f004e9ff7c

孫宇晨:團隊成員無意中將一部分TUSD用于參與兌換活動,已聯系團隊全額退款:金色財經報道,孫宇晨在推特上回應趙長鵬稱,作為 TUSD 的合作做市商,TRON DAO Venture 存入 TUSD 的主要目的是促進 TUSD 領先交易所之間的做市,從而提高流動性和交易量,而不是參與任何交易所促銷活動。在過去的幾個小時內,我們的做市商已經實現了 4000 萬美元的總交易量,為 TUSD 價格的穩定做出了貢獻。遺憾的是,我們的一些團隊成員并未完全了解這些資金的預期用途,并無意中將其中的一部分用于參與兌換活動。意識到這個錯誤后,我們立即聯系了交易所團隊并安排了全額退款。[2023/5/1 14:37:07]

攻擊合約

0x9a843bb125a3c03f496cb44653741f2cef82f445

被攻擊合約(部分)

超過2500萬個ApeCoin將于明日解鎖,占流通量近8%:金色財經報道,超過2500萬個ApeCoin將于9月17日被解鎖流向啟動貢獻者,占流通量近8%。(CoinDesk)[2022/9/16 7:01:34]

0x818e2013dd7d9bf4547aaabf6b617c1262578bc7?(BNB Chain)

0xf2bda964ec2d2fcb1610c886ed4831bf58f64948 (Ethereum)

Ethereum和BNB Chain上使用攻擊手法相同,以下分析基于BNB Chain上攻擊:

1. 攻擊者調用攻擊合約(0x9a84...f445)利用閃電貸從DVM合約(0xd534...0dd7)中借貸915.84 WBNB,然后將116.81 WBNB兌換成115.65 fBNB為后續攻擊做準備。

“Machi大哥”黃立成被曝曾推出十余個垃圾項目,并涉嫌挪用巨額資金:6月17日消息,據加密KOL zachxbt發文稱,黃立成(Jeffrey Huang)先后推出了Mithril(MITH)、Formosa Financial(FMF)、Machi X、Cream Finance(CREAM)、Swag Finance(SWAG)等數十個垃圾項目,其中Formosa Financial出現挪用22,000 ETH資金的情況,Cream Finance曾3次遭受黑客攻擊共計損失超1.92億美元,其余多個項目出現上線數日后夭折、項目Token拉高后暴跌以及Rug Pull等情況。文中稱在Jeff的許多項目中,能夠看到相同的反復出現的主題:匿名團隊、分叉項目、通過FTX資助的新錢包以及較短的生命周期。

對此,黃立成在社交媒體上發文表示該質控為不實信息。若爆料者非匿名,黃立成將起訴其誹謗。[2022/6/17 4:33:14]

2. 攻擊者利用攻擊合約創建了10個合約,為后續攻擊做準備。

3. 攻擊者接下來將兌換得到的fBNB代幣抵押到FEGexPRO合約(0x818e...8bc7)中。

4. ?然后攻擊者重復調用depositInternal和swapToSwap函數,讓FEGexPRO合約授權fBNB給之前創建好的其他攻擊合約。

5. ?然后利用其他攻擊合約調用transferFrom函數將FEGexPRO合約中fBNB全部轉移到攻擊合約(0x9a84...f445)中。

6. 接下來又在LP交易對合約(0x2aa7...6c14)中借貸31,217,683,882,286.007211154 FEG代幣和423 WBNB。

7. 然后重復3、4、5步驟的攻擊手法,將FEGexPRO合約中大量FEG代幣盜取到攻擊合約中。

8. 然后歸還閃電貸,將獲得的WBNB轉入攻擊合約中完成此筆攻擊。

9. 此后,又利用相同的原理,執行了50余筆相同的攻擊,最獲利約144 ETH和3280 BNB。

本次攻擊主要利用了FEGexPRO合約中swapToSwap函數中path地址可控且合約中未對path地址進行有效性校驗的漏洞。由于合約中depositInternal函數中更新用戶余額時依賴于合約中當前代幣余額,攻擊者通過傳入一個惡意的path地址,調用swapToSwap函數時合約中代幣余額并未發生變化,導致攻擊者可以反復重置攻擊合約在FEGexPRO合約中記錄的代幣數量,從而讓FEGexPRO合約將自身代幣反復授權給攻擊者所控制的多個惡意合約。

截止發文時,被盜資金仍在攻擊者地址(0x73b3...ff7c)中并未轉移。

針對本次事件,成都鏈安技術團隊建議:

項目開發時,應該注意與其他合約交互時可能存在的安全風險,盡量避免將關鍵參數設置為用戶可控。如果業務需求如此,則需要嚴格判斷用戶輸入的參數是否存在風險。此外建議項目上線前選擇專業的安全審計公司進行全面的安全審計,規避安全風險。

Tags:BNBFEGXPRXPROBNBCH價格feg幣最新消息EXPR幣XPROJECT

FIL
元宇宙時代到來 企業和品牌怎么提前參與?_ETA

2021 年 10 月,馬克·扎克伯格宣布將對“Facebook”進行品牌重塑,并將其改名為“Meta”,昭示了“Facebook”將向元宇宙轉型.

1900/1/1 0:00:00
NFT 的下一步是什么:創新、實用性和趨勢_NFT

盡管 NFT 的概念自 2014 年就出現了,但正式大流行是從 2021 年開始的。隨著不斷的創新,NFT 不再局限于數字藝術,隨著新趨勢、應用性和市場的出現,這一領域正在迅速轉變.

1900/1/1 0:00:00
NFT 炒作:不可替代代幣的泡沫即將破滅?_NFT

加密貨幣和穩定幣沒落之后,NFT 會發生什么?什么將推動 NFT 強勢回歸。不可替代代幣(NFT)的批評者長期以來一直警告說,當前的NFT狂熱是暫時的。目前,有越來越多的證據支持他們的說法.

1900/1/1 0:00:00
加密的至暗一周:回顧百億美元 Terra 生態崩盤事件_Terra

經歷了一周的“大屠殺”后,建立在 Terra 區塊鏈上的兩大加密資產已經暴跌至接近零,LUNA 最低跌至每枚 0.000001 美元.

1900/1/1 0:00:00
Multicoin Capital:攪局以太坊的加密派對王者 百倍回報的 thesis 推演狂人_ULT

2017 年春天,Multicoin Capital 的兩位創始人 Kyle 和 Tushar 在經歷了 ICO 泡沫之后,認清了加密投資缺乏分析框架的現狀,決定做加密世界的本杰明· 格雷厄姆.

1900/1/1 0:00:00
以實物美術作品為基礎鑄造NFT的相關法律問題_ROL

傳統藝術數字化結合NFT在國內掀起了熱潮,以實物美術作品為基礎鑄造NFT過程中存在諸多法律問題,筆者結合近期處理的實務案件和相關法律規定,就其中所涉法律問題做分享如下.

1900/1/1 0:00:00
ads