2022年5月16日,成都链安链必应-区块链安全态势感知平台舆情监测显示,Ethereum和BNB Chain上FEGtoken项目的FEGexPRO合约遭受黑客攻击,黑客获利约3280?BNB?以及144 ETH,价值约130万美元。成都链安技术团队对事件进行了分析,结果如下。
事件相关信息
本次攻击事件包含多笔交易,部分交易信息如下所示:
攻击交易?(部分)
0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063?(BNB Chain)
BTC短时突破30000美元:金色财经报道,行情显示,BTC短时突破30000美元,现报29866.31美元,日内涨幅达到9.2%,行情波动较大,请做好风险控制。[2023/4/26 14:28:26]
0x1e769a59a5a9dabec0cb7f21a3e346f55ae1972bb18ae5eeacdaa0bc3424abd2?(Ethereum)
攻击者地址
0x73b359d5da488eb2e97990619976f2f004e9ff7c
攻击合约
0x9a843bb125a3c03f496cb44653741f2cef82f445
被攻击合约(部分)
0x818e2013dd7d9bf4547aaabf6b617c1262578bc7?(BNB Chain)
Cosmos生态公链Canto日活地址和交易量在2月份均下降了89%:2月23日消息,区块链分析公司Artemis的数据显示,Cosmos生态公链Canto每日活跃地址和交易数量在年初都显示出高度波动。截至2月3日,发送至少一笔链上交易的唯一钱包地址数量约27,000个,较1月1日的244个增长10,965%。同一时期,在链上注册的日交易总数为119,000笔,较1月1日的2,400笔增长4858%。
不过,Artemis的最新数据显示,Canto的每日活跃地址和交易量在2月份分别下降了89%,分别约为2,400和22,700。虽然每日活跃地址和交易量仍同比增长,但两个月的下降表明这个Canto网络的活动已经降温。
此外DeFiLlama的数据显示,Canto的总价值锁定 (TVL) 稳定在1.89亿美元左右,其中65.82%的TVL来自Canto链上最大的DEX。Canto的TVL自2月初以来增长了约28%,自1月1日以来增长了182%,这突显出即使在活动减少的时候,用户仍然有兴趣将他们的资产存入layer 1区块链。[2023/2/23 12:24:46]
0xf2bda964ec2d2fcb1610c886ed4831bf58f64948 (Ethereum)
纽约州共同退休基金和俄亥俄州教师退休系统均因FTX破产受损:12月3日消息,纽约州共同退休基金(New York State Common Retirement Fund)和俄亥俄州教师退休系统(State Teachers Retirement System of Ohio)披露通过私募股权和风险投资公司Thoma Bravo投资了 FTX。纽约州共同退休基金发言人证实,该基金确实有损失,但金额非常小,俄亥俄州教师退休系统暂未就具体损失金额回应置评请求,Thoma Bravo也拒绝对此事置评。
此前密苏里州雇员退休系统已宣布减记120万美元的FTX投资,该系统通过贝莱德高达1.25亿美元的共同基金参与了FTX投资。(buyoutsinsider)[2022/12/3 21:19:18]
Ethereum和BNB Chain上使用攻击手法相同,以下分析基于BNB Chain上攻击:
Ripple CEO指责美国SEC对该国加密公司的监管太双标:6月24日消息,Ripple Labs首席执行官布Brad Garlinghouse指责美国证券交易委员会(SEC)对该国的加密公司实施的监管不一致。Garlinghouse周四在多伦多举行的Collision会议上提到了Ripple目前与SEC的法律斗争,称SEC指控该公司高管通过出售瑞波币进行“未注册的、正在进行的数字资产证券发行”,但SEC在2021年4月批准了Coinbase的公开发行,尽管当时Coinbase上线了XRP。
Garlinghouse称:“SEC没有努力定义一套新的明确的监管规则,相反,他们决定通过执法来监管,这是低效的,我认为这实际上扼杀了美国的创新。 ”(Cointelegraph)[2022/6/24 1:29:17]
1. 攻击者调用攻击合约(0x9a84...f445)利用闪电贷从DVM合约(0xd534...0dd7)中借贷915.84 WBNB,然后将116.81 WBNB兑换成115.65 fBNB为后续攻击做准备。
巴西监管机构对数字货币交易征收个人所得税:5月31日消息,巴西联邦税务局 (RFB) 已通过一项法律,要求投资者在数字货币交易时缴纳个人所得税。该法律并不适用于所有交易者,只限于超过 35,000 雷亚尔(约 7200 美元)的交易。
此前于 4 月底,巴西参议院批准了一项监管该国数字资产的法案。该法案目前正在等待总统批准,它将把数字货币监督权交到政府行政部门手中。[2022/5/31 3:52:58]
2. 攻击者利用攻击合约创建了10个合约,为后续攻击做准备。
3. 攻击者接下来将兑换得到的fBNB代币抵押到FEGexPRO合约(0x818e...8bc7)中。
4. ?然后攻击者重复调用depositInternal和swapToSwap函数,让FEGexPRO合约授权fBNB给之前创建好的其他攻击合约。
5. ?然后利用其他攻击合约调用transferFrom函数将FEGexPRO合约中fBNB全部转移到攻击合约(0x9a84...f445)中。
6. 接下来又在LP交易对合约(0x2aa7...6c14)中借贷31,217,683,882,286.007211154 FEG代币和423 WBNB。
7. 然后重复3、4、5步骤的攻击手法,将FEGexPRO合约中大量FEG代币盗取到攻击合约中。
8. 然后归还闪电贷,将获得的WBNB转入攻击合约中完成此笔攻击。
9. 此后,又利用相同的原理,执行了50余笔相同的攻击,最获利约144 ETH和3280 BNB。
本次攻击主要利用了FEGexPRO合约中swapToSwap函数中path地址可控且合约中未对path地址进行有效性校验的漏洞。由于合约中depositInternal函数中更新用户余额时依赖于合约中当前代币余额,攻击者通过传入一个恶意的path地址,调用swapToSwap函数时合约中代币余额并未发生变化,导致攻击者可以反复重置攻击合约在FEGexPRO合约中记录的代币数量,从而让FEGexPRO合约将自身代币反复授权给攻击者所控制的多个恶意合约。
截止发文时,被盗资金仍在攻击者地址(0x73b3...ff7c)中并未转移。
针对本次事件,成都链安技术团队建议:
项目开发时,应该注意与其他合约交互时可能存在的安全风险,尽量避免将关键参数设置为用户可控。如果业务需求如此,则需要严格判断用户输入的参数是否存在风险。此外建议项目上线前选择专业的安全审计公司进行全面的安全审计,规避安全风险。
饿了么数字美食藏品主打“美味中国”和“美味时令”两个系列,搭建“美味珍藏馆”,集中展示用户获得的典藏菜品、菜系历史、节气美食等文化赏鉴内容.
1900/1/1 0:00:00声誉分数的未来与社区息息相关现实世界中,我们可以用驾照来证明自己的身份,但它无法显示足够的个人信息或是声誉.
1900/1/1 0:00:00▌中国工程院院士郑纬民:元宇宙的构建需要新的计算架构5月29日消息,近日,元宇宙产业委员会共同主席、清华大学教授、中国工程院院士郑纬民在举办的2022元宇宙共识大会上表示.
1900/1/1 0:00:00NFT已成为加密世界不可或缺的重要篇章。自 2021 年出现 NFT Summer 热潮至今,以太坊最大的 NFT 平台 Opensea 周交易量已达十亿美金量级,独立钱包数维持在 30 万以上.
1900/1/1 0:00:00导语:元宇宙是数字化转型的新途径,传统的数字化发展范式将遇到深刻变革,催生出金融元宇宙的新范式,体现为从智能手机到智能终端的转变、金融资产到数字资产的转变、中心化到去中心化的转变.
1900/1/1 0:00:00在过去的十年中,我们见证了各类 Web3 项目的爆炸式增长。Compound?正在构建 Web3 版本的美国银行,Uniswap?就像纽约证券交易所,Yearn Finance 是去中心化的贝莱.
1900/1/1 0:00:00