北京時間2022年5月16日凌晨4:22:49,CertiK安全技術團隊監測到FEG在以太坊和BNB鏈上遭受大規模閃電貸攻擊,導致了價值約130萬美元的資產損失。
此攻擊是由“swapToSwap()”函數中的一個漏洞造成的,該函數在未對傳入參數進行篩查驗證的情況下,直接將用戶輸入的 "path "作為受信任方,允許未經驗證的 "path "參數(地址)來使用當前合約的資產。
因此,通過反復調用 "depositInternal() "和 "swapToSwap()",攻擊者可獲得無限制使用當前合約資產的許可,從而盜取合約內的所有資產。
受影響的合約地址之一:https://bscscan.com/address/0x818e2013dd7d9bf4547aaabf6b617c1262578bc7
Balancer:LDO激勵措施已遷移到Arbitrum上新的wstETH/weth池:據官方推特消息,Balancer宣布,LDO激勵措施已遷移到Arbitrum上新的wstETH/weth池,BAL激勵措施將在幾周后推出。[2023/1/15 11:12:32]
漏洞交易
漏洞地址: https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c?
漏洞交易樣本:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063
被盜資金追蹤:https://debank.com/profile/0x73b359d5da488eb2e97990619976f2f004e9ff7c/history
去中心化網絡存儲協議Ceramic宣布主網正式上線:官方消息,去中心化網絡存儲協議Ceramic宣布主網正式上線,開發人員現在可以創建數據流并將其部署到生產就緒節點的p2p網絡。[2021/6/30 0:16:23]
相關地址
攻擊者地址:https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c
攻擊者合約:https://bscscan.com/address/0x9a843bb125a3c03f496cb44653741f2cef82f445
FEG代幣地址:https://bscscan.com/token/0xacfc95585d80ab62f67a14c566c1b7a49fe91167
安全公司CertiK:名為Ghostmixer的項目存在高風險:4月8日消息,安全公司CertiK表示,名為Ghostmixer的項目存在高風險,該項目通過可疑金庫的存款不定期鑄造代幣。CertiK提醒不要與該項目的任何智能合約交互。[2021/4/8 19:57:59]
FEG Wrapped BNB(fBNB): https://bscscan.com/address/0x87b1acce6a1958e522233a737313c086551a5c76#code
攻擊步驟
以下攻擊流程基于該漏洞交易:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063
① 攻擊者借貸915 WBNB,并將其中116 BNB存入fBNB。
聲音 | 趙長鵬回應Larry Cermak:調整BNB銷毀計劃與監管無關:趙長鵬發推就The Block分析師Larry Cermak對“幣安調整BNB銷毀計劃,放棄團隊BNB份額”的分析做出回應。趙長鵬表示:直到第六條為止都是很棒的思路及數據。認為這與監管有關的假設是完全錯誤的。從第七條開始就是“危言聳聽”(FUD,恐懼、不確定、懷疑)了。(調整計劃的)主要原因是不再需要擔心團隊解鎖和拋壓,現在這已經不可能了。 據悉,The Block分析師Larry Cermak此前就“幣安調整BNB銷毀計劃,放棄團隊BNB份額”展開分析。分析的第七條內容主題為:深信幣安作出這項改變是出于監管合規的考慮。[2019/7/13]
② 攻擊者創建了10個地址,以便在后續攻擊中使用。
③攻擊者通過調用 "depositInternal() "將fBNB存入合約FEGexPRO。
根據當前地址的余額,"_balances2[msg.sender]"被增加。
④ 攻擊者調用了 "swapToSwap()",路徑參數是之前創建的合約地址。
該函數允許 "path "獲取FEGexPRO合約的114 fBNB。
⑤ 攻擊者反復調用 "depositInternal() "和 "swapToSwap()"(步驟③和④),允許多個地址(在步驟②中創建)獲取fBNB代幣,原因如下:
每次 "depositInternal() "被調用,_balance2[msg.sender]將增加約114 fBNB。
每次"swapToSwap()"被調用,攻擊者所創建合約能獲取該114 fBNB的使用權限。
⑥?由于攻擊者控制了10個地址,每個地址均可從當前地址花費114個fBNB,因此攻擊者能夠盜取被攻擊合約內的所有fBNB。
⑦ 攻擊者重復步驟④⑤⑥,在合約內耗盡FEG代幣。
⑧ 最后攻擊者出售了所有耗盡的資產,并償還閃電貸款,最終獲取了其余利潤。
資產去向
截至2022年5月16日6:43,被盜資金仍存儲在以太坊和BSC鏈上的攻擊者錢包(0x73b359d5da488eb2e97990619976f2f004e9ff7c)中。
原始資金來自以太坊和BSC的Tornado cash:https://etherscan.io/tx/0x0ff1b86c9e8618a088f8818db7d09830eaec42b82974986c855b207d1771fdbe
https://bscscan.com/tx/0x5bbf7793f30d568c40aa86802d63154f837e781d0b0965386ed9ac69a16eb6ab
攻擊者攻擊了13個FEGexPRO合約,以下為概覽:
1.DeFi代幣總市值:531.54億美元 DeFi總市值 數據來源:coingecko2.過去24小時去中心化交易所的交易量:30.
1900/1/1 0:00:00近段時間,NFT領域的創新引入了實用性,進而觸發了更大的增長潛力。這些NFT 2.0項目的不同之處在于,通過團隊的舉措,給用戶提供了實實在在的東西,包括生成收益、周邊商品、私人游艇派對、享受米其.
1900/1/1 0:00:00金色觀察|比特幣連續8周下跌創紀錄 如何看待加密貨幣后市?分析師指出,加密價格的下降會導致挖礦的減少,但這可能在更長的時間內發生.
1900/1/1 0:00:00與PoW相比,PoS是一個更好的區塊鏈安全機制,原因有三個。你可以便宜地租用GPU,所以攻擊網絡的成本只是租用足夠的GPU來超過現有的礦工成本.
1900/1/1 0:00:00Terra 將被銘記為 2020 年加密貨幣牛市的典范。它從一個不起眼的實驗性穩定幣開始。但是在一年的時間里,Terra 從這個周期中表現最好的資產之一變成了主要加密資產所見過的最壯觀的崩盤.
1900/1/1 0:00:00BTC3日線級別,目前可以看到50線即將死叉200線,價格最低跌至下方頸線區域,這個位置一旦有效跌破,后面下行空間將拉大,注意風險,我們可以看下之前死叉后的走勢.
1900/1/1 0:00:00