北京時間2022年5月16日凌晨4:22:49,CertiK安全技術團隊監測到FEG在以太坊和BNB鏈上遭受大規模閃電貸攻擊,導致了價值約130萬美元的資產損失。
此攻擊是由“swapToSwap()”函數中的一個漏洞造成的,該函數在未對傳入參數進行篩查驗證的情況下,直接將用戶輸入的"path"作為受信任方,允許未經驗證的"path"參數來使用當前合約的資產。
因此,通過反復調用"depositInternal()"和"swapToSwap()",攻擊者可獲得無限制使用當前合約資產的許可,從而盜取合約內的所有資產。
受影響的合約地址之一:https://bscscan.com/address/0x818e2013dd7d9bf4547aaabf6b617c1262578bc7
Balancer生態收益治理平臺Aura Finance發起部署至Optimism的治理投票:7月8日消息,Balancer生態收益治理平臺Aura Finance發起部署至Optimism的治理投票,投票截止日期為7月10日2:00,一旦投票獲得通過,跨鏈合約將部署至Optimism。
此前報道,6月份Aura Finance已上線Arbitrum。[2023/7/8 22:25:34]
漏洞交易
漏洞地址:https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c?
漏洞交易樣本:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063
SaucerSwap:Hedera網絡被攻擊,建議用戶撤回流動資金:3月10日消息,Hedera 上 DeFi 項目 SaucerSwap 發推稱,一個持續的漏洞攻擊了 Hedera 網絡,該漏洞利用的目標是智能合約中的反編譯過程。攻擊者已經攻擊了包含包裝資產的 Pangolin 和 HeliSwap 池。不確定其他 HTS 代幣是否也有風險。目前還沒有關于 SaucerSwap 用戶資金被盜的報道,但作為預防措施,鼓勵大家立即撤回流動資金。
此前消息,HBAR 基金會發推稱,Hedera 網絡上 DApp 及其用戶正在受網絡異常影響,基金會正在與受影響的合作伙伴進行溝通,幫助解決問題。[2023/3/10 12:53:14]
被盜資金追蹤:https://debank.com/profile/0x73b359d5da488eb2e97990619976f2f004e9ff7c/history
UpLift DAO與安全審計公司CertiK達成合作:6月1日消息,加密項目孵化服務去中心化自治組織 UpLift 宣布與安全審計公司 CertiK 達成合作伙伴關系,旨在構建一個安全可靠的 Launchpad 服務,CertiK 將對在 UpLift 上啟動的項目的智能合約和區塊鏈代碼進行滲透測試、手動代碼審查和全面的安全評估。截止目前,UpLift DAO 共籌集了 1,211,158.57 BUSD,用于 DeFi、GameFi 和 NFT 領域的項目擴展。(cryptopolitan)[2022/6/1 3:54:38]
相關地址
攻擊者地址:https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c
Web3孵化器DAOsquare提前關閉RICE在Balancer上的LBP:Web3孵化器DAOsquare(RICE)發布公告稱,由于市場環境影響導致交易量未達預期,官方提前關閉了其代幣RICE在Balancer上的LBP。[2021/5/24 22:37:16]
攻擊者合約:https://bscscan.com/address/0x9a843bb125a3c03f496cb44653741f2cef82f445
FEG代幣地址:https://bscscan.com/token/0xacfc95585d80ab62f67a14c566c1b7a49fe91167
FEGWrappedBNB(fBNB):https://bscscan.com/address/0x87b1acce6a1958e522233a737313c086551a5c76#code
攻擊步驟
以下攻擊流程基于該漏洞交易:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063
①攻擊者借貸915WBNB,并將其中116BNB存入fBNB。
②攻擊者創建了10個地址,以便在后續攻擊中使用。
③攻擊者通過調用"depositInternal()"將fBNB存入合約FEGexPRO。
根據當前地址的余額,"_balances2"被增加。
④攻擊者調用了"swapToSwap()",路徑參數是之前創建的合約地址。
該函數允許"path"獲取FEGexPRO合約的114fBNB。
⑤攻擊者反復調用"depositInternal()"和"swapToSwap()",允許多個地址獲取fBNB代幣,原因如下:
每次"depositInternal()"被調用,_balance2將增加約114fBNB。
每次"swapToSwap()"被調用,攻擊者所創建合約能獲取該114fBNB的使用權限。
⑥?由于攻擊者控制了10個地址,每個地址均可從當前地址花費114個fBNB,因此攻擊者能夠盜取被攻擊合約內的所有fBNB。
⑦攻擊者重復步驟④⑤⑥,在合約內耗盡FEG代幣。
⑧最后攻擊者出售了所有耗盡的資產,并償還閃電貸款,最終獲取了其余利潤。
資產去向
截至2022年5月16日6:43,被盜資金仍存儲在以太坊和BSC鏈上的攻擊者錢包中。
原始資金來自以太坊和BSC的Tornadocash:https://etherscan.io/tx/0x0ff1b86c9e8618a088f8818db7d09830eaec42b82974986c855b207d1771fdbe
https://bscscan.com/tx/0x5bbf7793f30d568c40aa86802d63154f837e781d0b0965386ed9ac69a16eb6ab
攻擊者攻擊了13個FEGexPRO合約,以下為概覽:
Tags:SWAPBNBCERHTTHiswap Tokenbnb艾米莉怎么解鎖兩人互動Influencer Financehtt幣騙局
金色財經報道,根據一份文件,歐盟委員會(EuropeanCommission)正在考慮對穩定幣取代法定貨幣廣泛使用的能力進行嚴格限制.
1900/1/1 0:00:00互聯網目前正處于范式轉變的風口浪尖——下一代互聯網,Web3.0,即將出現。簡而言之,Web3.0是互聯網的下一個迭代,它將在很大程度上依賴于區塊鏈技術,以及去中心化理念.
1900/1/1 0:00:00對于Terra,仍是艱難的一天。15小時前,DoKwon發推稱,即將宣布一個UST恢復計劃。12小時前,有消息稱,Luna基金會LFG正在向機構尋求籌集超過10億美元來支持UST.
1900/1/1 0:00:00元宇宙營銷的機遇和挑戰 機遇:利用虛擬空間優勢創造更多新型的消費體驗?挑戰:如何能創造實際價值,促進真實的購買行為 ——丁肇辰教授 北京服裝學院藝術設計學院新媒體系主任5月.
1900/1/1 0:00:00目前為止的黑客攻擊損失中,超過80%是通過有漏洞的跨鏈橋被盜取。當AxieInfinity和DeFiKingdoms等游戲類DApp維持著像Ronin和Harmony等整個生態系統時,Fanto.
1900/1/1 0:00:00經歷了連續暴跌,死亡螺旋,Terra復興計劃被提上日程,眾說紛紜。5月14日,TerraformLabs的聯合創始人DoKwon提出了一項提案,以保護Terra生態系統.
1900/1/1 0:00:00