2022年5月16日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,Ethereum和BNBChain上FEGtoken項目的FEGexPRO合約遭受黑客攻擊,黑客獲利約3280?BNB?以及144ETH,價值約130萬美元。成都鏈安技術團隊對事件進行了分析,結果如下。
事件相關信息
本次攻擊事件包含多筆交易,部分交易信息如下所示:
攻擊交易?(部分)
0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063?(BNBChain)
數字錢包初創公司Naval完成400萬美元種子輪融資,BlockTower領投:8月2日消息,數字錢包初創公司 Naval 宣布已完成 400 萬美元種子輪融資,數字資產投資公司 BlockTower 領投,新資金將用于加速產品開發。
Narval 正在構建一個組織級 Web3 錢包使用平臺,目前處于封閉測試階段,該平臺主要面向企業用戶,旨在幫助公司像使用電子郵件一樣使用數字錢包。[2023/8/2 16:12:46]
0x1e769a59a5a9dabec0cb7f21a3e346f55ae1972bb18ae5eeacdaa0bc3424abd2?(Ethereum)
攻擊者地址
0x73b359d5da488eb2e97990619976f2f004e9ff7c
攻擊合約
Astar Network將于4月6日在主網推出第二代智能合約:金色財經報道,多鏈去中心化應用程序協議 Astar Network 將于 4 月 6 日在其主網上推出支持以太坊虛擬機 (EVM) 和 WebAssembly 虛擬機 (WASM VM) 的智能合約的第二次迭代。[2023/4/3 13:42:27]
0x9a843bb125a3c03f496cb44653741f2cef82f445
被攻擊合約
0x818e2013dd7d9bf4547aaabf6b617c1262578bc7?(BNBChain)
0xf2bda964ec2d2fcb1610c886ed4831bf58f64948(Ethereum)
攻擊流程
Ethereum和BNBChain上使用攻擊手法相同,以下分析基于BNBChain上攻擊:
Galaxy Digital斥資4410萬美元收購GK8自托管平臺:金色財經報道,Galaxy Digital?斥資4410萬美元收購Celsius Network的GK8自托管平臺,收購價格比Celsius去年收購GK8的價格低60%以上。GK8 的交易以4400萬美元現金外加100,000美元的承擔責任的購買價格達成。Celsius于2021年11月以1.15億美元的價格收購了GK8。?[2022/12/8 21:29:57]
1.攻擊者調用攻擊合約利用閃電貸從DVM合約(0xd534...0dd7)中借貸915.84WBNB,然后將116.81WBNB兌換成115.65fBNB為后續攻擊做準備。
部分黎巴嫩人進行比特幣挖礦并使用USDT支付日常開支:11月7日消息,受到當地惡性通貨膨脹以及銀行限制美元提款的影響,一些黎巴嫩人正在進行比特幣挖礦或使用加密貨幣儲存財富。與美元掛鉤的穩定幣USDT也很受歡迎,用戶可以用其兌換現金、支付日常開支。(CNBC)[2022/11/7 12:29:07]
2.攻擊者利用攻擊合約創建了10個合約,為后續攻擊做準備。
3.攻擊者接下來將兌換得到的fBNB代幣抵押到FEGexPRO合約中。
派盾:孫宇晨地址向Aave V2轉入約1.2億美元穩定幣:金色財經報道,據PeckShield監測,標記為孫宇晨的地址向Aave V2轉入約4120萬枚BUSD、約270萬枚USDC和約8000萬枚USDT。[2022/10/16 14:29:16]
4.?然后攻擊者重復調用depositInternal和swapToSwap函數,讓FEGexPRO合約授權fBNB給之前創建好的其他攻擊合約。
5.?然后利用其他攻擊合約調用transferFrom函數將FEGexPRO合約中fBNB全部轉移到攻擊合約中。
6.接下來又在LP交易對合約(0x2aa7...6c14)中借貸31,217,683,882,286.007211154FEG代幣和423WBNB。
7.然后重復3、4、5步驟的攻擊手法,將FEGexPRO合約中大量FEG代幣盜取到攻擊合約中。
8.然后歸還閃電貸,將獲得的WBNB轉入攻擊合約中完成此筆攻擊。
9.此后,又利用相同的原理,執行了50余筆相同的攻擊,最獲利約144ETH和3280BNB。
漏洞分析
本次攻擊主要利用了FEGexPRO合約中swapToSwap函數中path地址可控且合約中未對path地址進行有效性校驗的漏洞。由于合約中depositInternal函數中更新用戶余額時依賴于合約中當前代幣余額,攻擊者通過傳入一個惡意的path地址,調用swapToSwap函數時合約中代幣余額并未發生變化,導致攻擊者可以反復重置攻擊合約在FEGexPRO合約中記錄的代幣數量,從而讓FEGexPRO合約將自身代幣反復授權給攻擊者所控制的多個惡意合約。
資金追蹤
截止發文時,被盜資金仍在攻擊者地址中并未轉移。
總結
針對本次事件,成都鏈安技術團隊建議:
項目開發時,應該注意與其他合約交互時可能存在的安全風險,盡量避免將關鍵參數設置為用戶可控。如果業務需求如此,則需要嚴格判斷用戶輸入的參數是否存在風險。此外建議項目上線前選擇專業的安全審計公司進行全面的安全審計,規避安全風險。
Tags:BNBFEGEXPXPROTROLL BNBBBFEG價格Experty Wisdom TokenXPROJECT
DeFi數據 1.DeFi代幣總市值:545.40億美元 DeFi總市值數據來源:coingecko2.過去24小時去中心化交易所的交易量:138.
1900/1/1 0:00:001942年,知名經濟學家約瑟夫·熊彼特創造了創造性破壞一詞。核心思想理念是,隨著時間的推移,資本主義傾向于將系統轉向效率以淘汰舊的技術和生產體系,并建立起新的生產體系,最終實現經濟增長.
1900/1/1 0:00:00科技管理第三方風險的優勢并沒有讓合規專業人士失去市場。當考慮公司第三方生態系統不斷增長的規模、復雜性和地理多樣性時,很容易看出原因.
1900/1/1 0:00:00近年來,在發達經濟體和新興市場經濟體中,央行越來越多地參與與中央銀行數字貨幣相關的項目——即以國家記賬單位計價的數字貨幣,并且是中央銀行的負債)。但是參與研究、試點或發行的階段因國家而異.
1900/1/1 0:00:00加密資產市場在過去一年的快速增長離不開傳統支付巨頭們的助攻。擁有3.77億用戶的Paypal已經為美國和英國的用戶開放了交易和持有比特幣、以太坊、比特現金和萊特幣功能,同時支持用戶使用這些加密資.
1900/1/1 0:00:00算法穩定幣UST嚴重脫鉤,Luna代幣近乎“歸零”,市值最大的穩定幣Tether周四短暫跌破1美元,各大藍籌代幣紛紛滑落至近期冰點,曾經達到2萬億美元的加密總市值縮水至1.3萬億美元.
1900/1/1 0:00:00