去年4月19日,Layer2DeFi借贷协议EasyFi创始人兼CEOAnkittGaur称,「有大量EASY代币从EasyFi官方钱包大量转移到以太坊网络和Polygon网络上的几个未知钱包。有人攻击了管理密钥或助记词。黑客成功获取了管理员密钥,并从协议池中以USD/DAI/USDT形式转移了600万美元的现有流动性资金,并将298万枚EASY代币转移到了疑似黑客的钱包中。」
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
攻击分析
???????通过初步分析,ForceDAO合约中的漏洞主要在xFORCE合约代码ForceProfitSharing.sol上。该漏洞令所有人都可以在没有FORCE的时候,铸造xFORCE。然后再将新铸造的xFORCE交换为FORCE
1.最迟通过EasyFi项目的官方向中间地址发送了8800000?EASY
2.该中间地址分别像两个受害者地址(0x0c08d0fe35515f191fc8f0811cadcfc6b2615b7)(0xf59c2e9d4ab5736a1813738e5aa5c3f5eaf94d9e)发送了2,700,000和2,000,000个EASY。
3.攻击者0x83a2eb63b6cc296529468afa85dbde4a469d8b37利用两受害者的账户向攻击者的账户分别转账了1,035,555.826203866010956193和1,799,990个EASY。交易的记录。
通过检查合约发现,合约中的执行逻辑简单并没有可以利用的漏洞。因此可以判定,这是一次因用户私钥或助记词泄露从而窃取用户虚拟资产
的攻击。
???????在完成攻击获取到大量EASY数字资产后,该攻击者接着在Uniswap中将EASY置换为USDC。
根据整个攻击过程的分析,根本原因在于攻击者可以利用被攻击者的账户地址调用合约,窃取受害者私钥授权合约执行并向攻击者地址进行大额数字资产的转账
安全防范
1、不要随意执行来历不明的二维码和链接;
2、不要泄露自己任何的敏感信息;
3、不截屏或者拍照保存私钥或助记词;
4、不在不安全的环境下使用钱包或者导出私钥、助记词。
来源:金色财经
点击上方“蓝色字”可关注我们!暴走时评:前CFTC专员BrianQuintenz表示,银行不需要提供解释就可以关闭被认为“风险太大”的客户所拥有的账户.
俄罗斯总统弗拉基米尔?普京(VladimirPutin)为加密货币爱好者带来了对该国数字资产未来的一线希望。最近,该国禁止加密货币和挖矿的努力对数字资产构成了威胁.
??大家早上好,目前以太坊实时价格2451美金,大饼35600美金;根据目前一小时级别线,短线处于附近较小点位震荡,有继续回调趋势;根据K线形态,以太坊目前高点2540一线压力位短期比较难突破.
当“Metaverse”从一位科幻作家的笔下诞生时,有关它的讨论就充满着各式各样的脑洞与演绎。在被称之为元宇宙元年的2021年,“元宇宙”成为新一代的“媒体热词”与“投资风口”.
刚过去不的2021年,注定要在人类科技史上留下绚烂的一笔。这一年,区块链技术加速升级和落地的趋势下,去中心化应用世界已然孕育成型,并以远超传统互联网的裂变速度落地,推动人类社会从Web2向Web.
吴说作者?|?刘全凯 本期编辑?|?ColinWu12月24日,OpenDAO上线,宣布为所有在OpenSea上交易过NFT的用户空投SOS.
区块见闻