一、前言
北京时间2022年3月21日,知道创宇区块链安全实验室监测到BSC链和以太坊上的UmbNetwork奖励池遭到黑客攻击,损失约70万美元。实验室第一时间对本次事件进行跟踪并分析。
二、基础信息
攻击者地址:0x1751e3e1aaf1a3e7b973c889b7531f43fc59f7d0
数据:Cumberland从CEX平台提币1.7万枚ETH:7月14日消息,据Lookonchain数据显示,在美国法官裁定XRP不是证券的消息传出后的一小时内,加密做市商Cumberland从Circle提币5860万枚USDC后存入Binance,随后从Binance及Coinbase平台提币共计约1.7万枚ETH(价值约合3400万美元)。[2023/7/14 10:54:46]
攻击合约:0x89767960b76b009416bc7ff4a4b79051eed0a9ee
公告 | Bithumb Global将于今日15:00开放相关交易对:据官方消息,Bithumb Global于2月17日上线BSV,并将于2月18日10:00开放存款,2月18日15:00开放交易对BSV/USDT。[2020/2/18]
StakingRewards合约:0xB3FB1D01B07A706736Ca175f827e4F56021b85dE
以太坊交易哈希:0x33479bcfbc792aa0f8103ab0d7a3784788b5b0e1467c81ffbed1b7682660b4fa
Bithumb:ETH、EOS取款延迟:Bithumb发布公告,ETH、EOS的取款由于网站用户增加而推迟。ETH现全球均价783.5美元,24小时跌幅5.52%;EOS现全球均价6.86美元,24小时跌幅8.98%。[2018/3/7]
BSC交易哈希:0x784b68dc7d06ee181f3127d5eb5331850b5e690cc63dd099cd7b8dc863204bf6
三、漏洞分析
此次事件,漏洞关键在于UmbNetwork奖励池的StakingRewards合约中的_balance函数出现溢出漏洞,合约未校验检查balance的值,攻击者通过amount发起下溢攻击,抽空了池子中的代币。
从合约代码我们可以看出,合约未正确使用SafeMath安全库且未作溢出检查,导致此次攻击发生。
四、攻击流程
攻击者从BSC链发起攻击获取156枚pancake-LP代币:
攻击者在以太坊上发起攻击获取8792枚UNI-V2代币:
随后攻击者分别将代币转分别换成ETH、UMB和BNB,获利约70万美元。
五、分析
本次攻击事件核心是由于合约未正确使用SafeMath库并且未对合约进行溢出检查导致合约出现溢出漏洞,而导致了此次事件的发生,建议项目方多加注意检查合约是否正确使用各类安全库。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
还记得旷日持久的CurveWar吗?协议们为了话语权激烈厮杀。现在,「CurveWar」在Fantom链上被复制,受到YFI创始人AndrewCronje的号召,所有人的目光都聚焦在Fantom.
2022年,围绕加密资产行业的监管活动步伐大幅加快,许多国家开始制定市场规则。该行业的发展以及政府为其定义一个连贯框架的紧迫性日益增加,这加剧了讨论,我们可以预期在2022年之前会有一系列新规则.
近期,NFT市场又是掀起了一股由Moonbird引起的巨浪。Moonbirds上线一周,成交额达到惊人的100.6K,那么很关键的问题就是这么大一比资金从何而来?Moonbirds是市场的吸血鬼.
Web3的诞生和普及 在网络、工作和去中心化经济领域,Web3已经开始崭露头角。2022年,人们正在见证Web3领域新兴技术的巨大潜在影响,尤其是在去中心化经济和远程工作这些方面.
当前的数据可用性抽样计划使用KZGcommitments完成。KZG承诺的优点是它们非常易于使用,并且具有一些非常好的代数性质:一个评估证明具有恒定的大小,并且可以在恒定的时间内进行验证.
链上数据:30分钟内火币地址向Bitfinex转账约1亿USDT链闻消息,据WhaleAlert显示.
区块见闻