2022年4月17日,算法稳定币项目BeanstalkDAO遭受黑客攻击,损失已达1.82亿美元,包括7900多万BEAN3CRV-f、163万BEANLUSD-f、3600万BEAN和0.54个UNI-V2_WETH_BEAN。启动入侵的初始资金已被撤回至SynapseProtocol,且大部分收益都被存入Tornado.cash。目前,该项目稳定币BEAN价格已经从约1美元跌至0.136美元,跌幅达86%。
BeanStalk是一个分散的基于信用的稳定币协议。该协议由三个相互连接的组件组成:去中心化价格预言机、去中心化治理系统和去中心化信贷工具。根据该项目的白皮书介绍,BeanStalk使用动态挂钩维护机制,定期将1Bean的价格超过其价值挂钩,而无需集中化或抵押要求。
Proof首席执行官兼联合创始人个人钱包遭黑客攻击:金色财经报道,Proof 的首席执行官兼联合创始人凯文·罗斯 (Kevin Rose )周三在推特上表示,他的个人钱包遭到黑客攻击。在他的推文中,Rose建议他的 160 万粉丝避免购买任何 Chromie Squiggles,这是 Art Blocks 创始人埃里克卡尔德隆(又名 Snowfro )的一个生成艺术 NFT 项目。罗斯说他丢失了 25 个 Squiggles,以及“其他一些 NFT”,包括一个 Autoglyph。
二级市场OpenSea上 Squiggle 的底价为 13.3 ETH,在撰写本文时约为 20,700 美元。更稀有的 Squiggles NFT甚至以高达 945 ETH或 280 万美元的价格售出。[2023/1/26 11:30:36]
此次攻击事件距离AxieInfinity遭到黑客攻击损失6.25亿美元还不到一个月时间,Beanstalk受到了巨大的损失。这次的黑客攻击或源于前一天通过的BIP18,BIP18导致使用治理特权来抽干资金池的精心设计的代码来执行,黑客利用了Beanstalk的“投票合约中的票数是根据账户中的代币持有量来得到的”这一闪电贷漏洞完成了这次的攻击,并将获利的部分USDC转入了乌克兰加密捐赠地址。
公链Phantasma遭到黑客攻击,团队将部署新的代币合约:4月2日消息,公链Phantasma遭到黑客攻击,黑客利用协议漏洞在BNBChain上额外铸造了大量的KCAL与SOUL代币。Phantasma团队在Discord中表示,团队在攻击发生后的20分钟内发现了此次攻击并在30分钟内关闭了跨链功能,但仍有50万枚SOUL与2000万枚KCAL从BNB Chain被跨链至以太坊且SOUL已被出售。团队提醒用户尽快将Pancakeswap以及Uniswap中的流动性撤出,团队将会快照攻击前的代币份额并部署新的代币合约并空投给用户。[2022/4/2 14:00:26]
下面ArmorsCompanyLimited来具体分析一下黑客的攻击过程。
分析 | 3月共发生20起黑客攻击事件,总损失超1.3亿元:据PeckShield态势感知平台04月01日数据显示,过去一个月,共计发生20起黑客攻击事件,涉及竞猜类DApp、交易所等,包含EOS、BTC、ETH、USDT等数十种数字资产,累计总价值131,645,989 元。其中较为重大的为两起黑客攻击交易所事件:DragonEX龙网交易所被盗损失超4,000万元;韩国Bithumb交易所被盗损失近9,000万元。其余DApp类安全事件共计发生18起,损失70,384个EOS。PeckShield安全人员提醒,近期黑客攻击事件有逐渐从DApp转移至交易所的迹象,黑客团伙攻击也更加猖獗,攻击所致损失的资金额度和带来的社会危害都较为重大。同时在此希望广大区块链生态伙伴,尤其是交易所和DApp开发者应注意加强数字资产保护,做好相应的安全风控举措,避免给用户带来数字资产损失。[2019/4/1]
黑客从攻击的前一天发起了交易提案,提案通过以后将会从Beanstalk:BeanstalkProtocol合约中提取资金。首先黑客通过闪电贷换取了3.5亿个DAI、5亿个USDC、1.5亿个USDT、3200万个BEAN和1100万个LUSD作为资金储备。再将这些资金在Curve.fi对应交易对的交易池中添加为3Crv流动性代币,总量达到9.8亿个。接着用1500万个3Crv兑换成LUSD。又将3Crv代币兑换为BEAN3CRV-f用于投票,把3200万个BEAN和近2700万个LUSD添加流动性,这样就成功得到5900万个BEANLUSD-f流动性代币。
金色晨讯 | 袁煜明出任火币中国CEO 日本交易所被黑客攻击:1.李礼辉:区块链等新技术正在重构金融服务模式。
2.火币区块链研究院院长袁煜明出任火币中国CEO。
3.日本交易所Zaif因黑客攻击损失近6000万美元。
4.阿联酋首都阿布扎比全球市场呼吁加密货币国际监管。
5.国际反组织或将推出虚拟货币反标准。
6.清华大学计算机系推出法定数字货币应用试验引争议。
7.比特币ATM生产商General Bytes否认存在比特币ATM恶意软件。
8.美国NSA软件泄露致非法加密采矿活动数量飙升。
9.首辆以比特币形式付款的宾利车完成交易。[2018/9/20]
接着,黑客用BEAN3CRV-f和BEANLUSD-f来对提案发起投票,然后调用emergencyCommit进行紧急提交来执行提案,从而导致提案通过。经过以上一系列的操作,3600万个BEAN、8.75亿个BEAN3CRV-f、6000万个BEANLUSD-f以及0.54个UNI-V2,通过Beanstalk:BeanstalkProtocol合约转入了攻击合约。最后黑客将流动性移除并归还闪电贷,把多余的代币兑换为近2.5万个ETH持续转移至Tornado.Cash。
交易详细信息如图所示:
ETH被分批发送到Tornado.Cash:
Armors安全在此提醒:
首先,还是要对项目代码的安全审计提高重视,建议找行业内正规的安全公司进行全方位的代码审计,并定期检查更新,可使用实时的安全监测服务,避免出现安全风险。其次,项目方应避免使用账户的当前资金余额来统计投票数量,投票所用资金应在合约中设定锁定时间,避免出现可能的反复投票或使用闪电贷进行投票。对于恶意提案,项目方和社区应提高关注度及警惕性,可考虑禁止合约地址参与投票,并设立预警机制,对于恶意提案,需及时作出预警和处理,禁止恶意提案的投票通过和执行。
Armors安全机构成立于2017年,是行业最早成立的专业区块链安全机构之一。Armors是Polygon、BSC、Ethereum、Solana等公链审计合作伙伴,已为超过2000家区块链平台、交易所、钱包、DApp等机构和项目提供安全审计、渗透测试、跨链迁移、平台安全等各方面保障及服务。成立以来,Armors已为客户挽回超过32000个BTC的资产损失。
原文标题:《AGuidetoNFTPlatformSecurity》对于任何软件公司来说,安全是一个根本性的困难和不对称的问题.
1900/1/1 0:00:00这篇文章涉及代码相对较多,可能会略有枯燥,请耐心看完从而理解其中原理。这几天各个群都在传一个叫Gh0stlyGh0sts的项目,作为一个freemint的项目已经实现了单日百倍涨幅,这背后最主要.
1900/1/1 0:00:00从PoW机制转向PoS机制的以太坊合并已被推迟至今年的下半年,最早可能在第三季度。4月13日,以太坊基金会开发人员蒂姆·贝科在回复关注者询问时表示,2.0升级的合并部分不会在外界期待的6月完成,
1900/1/1 0:00:004月2日,幻核更新的发售预告中出现了一款法门寺博物馆名为“唐鎏金双蛾团花纹银香囊”的数字藏品,该预告一上架便被藏友指出与前一日Hi元宇宙发行的数字藏品重合.
1900/1/1 0:00:00今天,@CosmosTheta升级低调上线。本次升级标志着跨链账户的正式推出,该模块可能会有助于大幅增强区块链网络的互操作性、容量和可组合性.
1900/1/1 0:00:00本文由”老雅痞laoyapicom“授权转载 什么是vibe?听说过氛围感美女,氛围感拍照,社区的氛围感你了解过吗?其实用“氛围”做直译并不是很准确,vibe是vibration的缩写.
1900/1/1 0:00:00