2022年5月16日,成都链安链必应-区块链安全态势感知平台舆情监测显示,Ethereum和BNBChain上FEGtoken项目的FEGexPRO合约遭受黑客攻击,黑客获利约3280?BNB?以及144ETH,价值约130万美元。成都链安技术团队对事件进行了分析,结果如下。
事件相关信息
本次攻击事件包含多笔交易,部分交易信息如下所示:
攻击交易?(部分)
0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063?(BNBChain)
VenomBridge项目Discord服务器已被入侵:金色财经报道,据CertiK监测,VenomBridge 项目Discord服务器已被入侵,有黑客发布了虚假空投信息。在团队确认已重获对服务器的控制之前,请勿点击任何链接。[2023/5/22 15:17:41]
0x1e769a59a5a9dabec0cb7f21a3e346f55ae1972bb18ae5eeacdaa0bc3424abd2?(Ethereum)
攻击者地址
0x73b359d5da488eb2e97990619976f2f004e9ff7c
攻击合约
0x9a843bb125a3c03f496cb44653741f2cef82f445
被攻击合约
0x818e2013dd7d9bf4547aaabf6b617c1262578bc7?(BNBChain)
0xf2bda964ec2d2fcb1610c886ed4831bf58f64948(Ethereum)
攻击流程
Ethereum和BNBChain上使用攻击手法相同,以下分析基于BNBChain上攻击:
NFT项目“胖企鹅”:硅谷银行对Pudgy Penguins没有影响:金色财经报道,NFT项目“胖企鹅”Pudgy Penguins创始人Luca Netz在社交媒体表示,硅谷银行倒闭对该NFT项目没有影响,希望所有人都能度过难关,但他没有确认“胖企鹅”Pudgy Penguins是否在硅谷银行持有资金敞口。[2023/3/11 12:56:11]
1.攻击者调用攻击合约利用闪电贷从DVM合约(0xd534...0dd7)中借贷915.84WBNB,然后将116.81WBNB兑换成115.65fBNB为后续攻击做准备。
2.攻击者利用攻击合约创建了10个合约,为后续攻击做准备。
德国银行巨头DekaBank将向客户提供比特币和加密货币:金色财经报道,德国银行巨头DekaBank将向150万零售客户和500个机构客户提供比特币和加密货币。DekaBank重点将放在托管上。据悉,DekaBank管理着4280亿美元的资产。[2023/2/1 11:41:02]
3.攻击者接下来将兑换得到的fBNB代币抵押到FEGexPRO合约中。
4.?然后攻击者重复调用depositInternal和swapToSwap函数,让FEGexPRO合约授权fBNB给之前创建好的其他攻击合约。
币安灵魂绑定代币BAB有效铸造总量突破50万枚:11月20日消息,Dune数据显示,币安灵魂绑定代币BAB有效铸造总量突破50万枚,截至目前为500,624枚。BAB累计铸造总量达到534,081枚,其中33,457枚已撤销。[2022/11/20 22:09:11]
5.?然后利用其他攻击合约调用transferFrom函数将FEGexPRO合约中fBNB全部转移到攻击合约中。
6.接下来又在LP交易对合约(0x2aa7...6c14)中借贷31,217,683,882,286.007211154FEG代币和423WBNB。
智能合约安全监控项目 Forta Network 已开放空投申领,将上线 Coinbase:6月16日消息,由 OpenZeppelin 孵化的智能合约安全实时监控项目 Forta Network 已开放 FORT 空投申领。此外,Coinbase 宣布将上线 FORT,若满足流动性条件,将开放 FORT/USD、FORT/USDT 交易对。
此前报道,Forta Network 宣布将向早期贡献者进行代币空投,FORT 代币总量 10 亿枚,4% 将用于空投,可获得空投的地址总计 26022 个,包括了 Forta 的用户、Forta 建设者、多签钱包 Gnosis Safe 签名者、Forta 贡献者。[2022/6/16 4:30:55]
7.然后重复3、4、5步骤的攻击手法,将FEGexPRO合约中大量FEG代币盗取到攻击合约中。
8.然后归还闪电贷,将获得的WBNB转入攻击合约中完成此笔攻击。
9.此后,又利用相同的原理,执行了50余笔相同的攻击,最获利约144ETH和3280BNB。
漏洞分析
本次攻击主要利用了FEGexPRO合约中swapToSwap函数中path地址可控且合约中未对path地址进行有效性校验的漏洞。由于合约中depositInternal函数中更新用户余额时依赖于合约中当前代币余额,攻击者通过传入一个恶意的path地址,调用swapToSwap函数时合约中代币余额并未发生变化,导致攻击者可以反复重置攻击合约在FEGexPRO合约中记录的代币数量,从而让FEGexPRO合约将自身代币反复授权给攻击者所控制的多个恶意合约。
资金追踪
截止发文时,被盗资金仍在攻击者地址中并未转移。
总结
针对本次事件,成都链安技术团队建议:
项目开发时,应该注意与其他合约交互时可能存在的安全风险,尽量避免将关键参数设置为用户可控。如果业务需求如此,则需要严格判断用户输入的参数是否存在风险。此外建议项目上线前选择专业的安全审计公司进行全面的安全审计,规避安全风险。
标签:BNBFEGORTFORtogetherbnb游戏解说BBFEG价格LORTg9tro Crowdfunding Platform
5月9日消息,高通首席执行官CristianoAmon在接受雅虎财经采访时表示,对于Metaverse的采用和投资来说,最好的情况还没有到来,元宇宙是真实的,会成为一个非常大的商机.
1900/1/1 0:00:00来源:视觉中国“有一个女生靠做空LUNA币,这两天赚了1000多万。”近日,一则一夜暴富的消息在社交网络疯传。网传截图显示,该用户本金仅22万元,收益率高达5950%,总收益达1313.5万元.
1900/1/1 0:00:00注:这是对“加密索罗斯”狙击UST的一个推演,根据推演,如果幕后主使在3.2万美金左右平仓,那么其将获利超过8亿美元.
1900/1/1 0:00:00一项新的研究预测,到2027年底,现有的30亿美元市场规模将达到136亿美元,这反映了当今投资者对非同质化代币(NFT)领域日益增长的兴趣.
1900/1/1 0:00:00区块链技术在不断向各行业延伸、拓展的同时,其应用热点也在发生快速、甚至超乎想象的变化。我们需要对看似复杂的区块链应用场景进行更为细致和前瞻的分析,以求发现规律,超越炒作,并实施灵敏而稳健的行动策.
1900/1/1 0:00:00埃隆·马斯克(ElonMusk)收购Twitter的交易重新点燃了加密界长期以来的讨论,至少到目前为止,这个讨论主要围绕一个理论产品类别:“去中心化社交媒体”.
1900/1/1 0:00:00