北京时间2022年5月16日凌晨4:22:49,CertiK安全技术团队监测到FEG在以太坊和BNB链上遭受大规模闪电贷攻击,导致了价值约130万美元的资产损失。
此攻击是由“swapToSwap()”函数中的一个漏洞造成的,该函数在未对传入参数进行筛查验证的情况下,直接将用户输入的"path"作为受信任方,允许未经验证的"path"参数来使用当前合约的资产。
因此,通过反复调用"depositInternal()"和"swapToSwap()",攻击者可获得无限制使用当前合约资产的许可,从而盗取合约内的所有资产。
动态 | 俄罗斯总统普京下令在7月前执行加密货币法规:据cointelegraph报道,根据2月27日在克里姆林宫官方网站上公布的文件,俄罗斯总统普京再次发布了为数字资产行业制定法规的截止日期,他已下令政府在2019年7月之前执行加密货币法规。总统要求俄罗斯联邦委员会和下议院俄罗斯联邦议会(俄罗斯国家杜马)在春季会议上通过旨在发展数字经济的联邦立法,包括对民法数字解决方案的监管。该文件称,该立法还应包括数字金融资产监管框架,以及基于数字技术吸引更多金融资源。[2019/2/28]
受影响的合约地址之一:https://bscscan.com/address/0x818e2013dd7d9bf4547aaabf6b617c1262578bc7
漏洞交易
漏洞地址:https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c
声音 | Civic的创始人:加密货币的市值会达到数万亿美元:据ambcrypto消息,身份保护和管理创业公司Civic创始人Vinny Lingham讨论了加密货币市场的现状,比特币的崩溃的原因。在接受CNBC采访时,Vinny Lingham解释说崩盘还没有结束,比特币还没有真正触底。根据他的说法,市场处于“绝望状态”,因为比特币已经跌破5800美元的支撑位,大多数人认为这是比特币下跌的最低点。他说:“比特币的底部可能即将到来,我的猜测是介于2000美元到3000美元之间,但它可能会降低,可能会更高,但你知道,绝不是500美元,我认为现在的4000美元水平越来越近了。”同时他表示:“我长期以来一直非常看好加密货币,我认为加密货币市值会达到数万亿美元。”对于市场突然和残酷崩溃的原因,Lingham针对最近的比特币现金分配。他说,有许多方面导致比特币的价格崩溃,“哈希战争”就是其中之一。他还表示,像Bakkt或Fidelity这样的机构设施不会进入市场,因为涉及的风险太大。[2018/11/23]
漏洞交易样本:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063
动态 | 伊朗已正式承认加密货币挖矿作为一个产业:根据Bitcoin.com消息,伊朗已正式承认加密货币挖矿作为一个产业,伊朗央行将在未来18天内为加密挖矿业起草一个政策框架。伊朗最高网络空间委员会秘书Abolhassan Firouzabadi称,深入使用加密货币是为了使伊朗与其合作伙伴之间的贸易顺利进行,特别是在美国再次实施制裁之后。[2018/9/5]
被盗资金追踪:https://debank.com/profile/0x73b359d5da488eb2e97990619976f2f004e9ff7c/history
相关地址
攻击者地址:https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c
金融顾问们最好开始研究加密货币及其背后的技术:如今,随着机构投资成为区块链领域的一个重要主题,金融顾问们最好开始研究加密货币及其背后的技术,以防止他们失去客户。独立研究公司fintech策略的全球总监Lex Sokolin表示,\"金融顾问真的需要开始了解区块链的基本原理。开始理解为什么会有不同的加密货币。\"[2018/5/18]
攻击者合约:https://bscscan.com/address/0x9a843bb125a3c03f496cb44653741f2cef82f445
FEG代币地址:https://bscscan.com/token/0xacfc95585d80ab62f67a14c566c1b7a49fe91167
FEGWrappedBNB(fBNB):https://bscscan.com/address/0x87b1acce6a1958e522233a737313c086551a5c76#code
剑桥分析关闭了所有业务 此前曾考虑推出加密货币:据金融时报报道,受Facebook事件影响,英国数据分析咨询公司剑桥分析关闭了所有公司业务,并归咎于“媒体围攻”。此前曾有消息称该公司计划推出自己的加密货币。[2018/5/3]
攻击步骤
以下攻击流程基于该漏洞交易:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063
①攻击者借贷915WBNB,并将其中116BNB存入fBNB。
②攻击者创建了10个地址,以便在后续攻击中使用。
③攻击者通过调用"depositInternal()"将fBNB存入合约FEGexPRO。
根据当前地址的余额,"_balances2"被增加。
④攻击者调用了"swapToSwap()",路径参数是之前创建的合约地址。
该函数允许"path"获取FEGexPRO合约的114fBNB。
⑤攻击者反复调用"depositInternal()"和"swapToSwap()",允许多个地址获取fBNB代币,原因如下:
每次"depositInternal()"被调用,_balance2将增加约114fBNB。
每次"swapToSwap()"被调用,攻击者所创建合约能获取该114fBNB的使用权限。
⑥由于攻击者控制了10个地址,每个地址均可从当前地址花费114个fBNB,因此攻击者能够盗取被攻击合约内的所有fBNB。
⑦攻击者重复步骤④⑤⑥,在合约内耗尽FEG代币。
⑧最后攻击者出售了所有耗尽的资产,并偿还闪电贷款,最终获取了其余利润。
资产去向
截至2022年5月16日6:43,被盗资金仍存储在以太坊和BSC链上的攻击者钱包中。
原始资金来自以太坊和BSC的Tornadocash:https://etherscan.io/tx/0x0ff1b86c9e8618a088f8818db7d09830eaec42b82974986c855b207d1771fdbe
https://bscscan.com/tx/0x5bbf7793f30d568c40aa86802d63154f837e781d0b0965386ed9ac69a16eb6ab
攻击者攻击了13个FEGexPRO合约,以下为概览:
写在最后
本次攻击事件本可通过安全审计来有效地避免。
CertiK安全专家认为审计过程中可以检查出该风险——不受信任的"path"参数被传递到协议中,并获取合约资产支出的权限。审计专家会将该风险归类于主要风险级别,此外,如果进行更深层次的挖掘,还可列明被利用的多种可能。
DAO会是下一次工业革命吗? 基础设施/金融 法律 可持续发展 教育领域 行动主义 IRL(现实生活) 风险投资 艺术 科学 时尚 在我们写下《DAO改变世界的15种方式》后的8个月里.
SupraOracles很高兴与BlockVision合作,BlockVision是第三代区块链的一体化云服务解决方案,增加了高性能索引功能,以支持具有高交易输出的区块链工作负载.
格林纳达常驻世界贸易组织代表、特命全权大使、波场TRON创始人孙宇晨先生阁下受邀参与的纪录片《AligningTheFuture》中英字幕完整版已正式上线.
栏目背景 自2015年10月全球知名杂志《经济学人》封面刊文关于区块链的文章《信任的机器》以来,区块链开始登上了历史舞台,而在过去的这7年中.
最近,科技、加密货币和风险投资领域都热衷于讨论一个流行词汇,而且当今的对话中充满了这个词,甚至如果你不把它添加到你的Twitter个人简介里,就说明你不关心未来,这个词就是Web3.
介绍 互联网的创建没有为人们提供本地身份验证层。由此,数字身份问题被纳入网站和应用程序范畴。这种方法可能适用于互联网的早期阶段,但现在线上有数十亿人,但缺点正变得越来越明显.