区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > Ethereum > 正文

BEA:Beanstalk Farms攻击事件分析:恶意提案如何防范?-ODAILY_USD

作者:

时间:

2022年4月17日,成都链安链必应-区块链安全态势感知平台舆情监测显示,算法稳定币项目BeanstalkFarms遭黑客攻击,黑客获利近8000万美元,成都链安技术团队第一时间对事件进行了分析,结果如下。

#1事件相关信息

攻击交易

0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7

攻击者地址

0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4

攻击合约

0x79224bC0bf70EC34F0ef56ed8251619499a59dEf

被攻击合约

链游The Beacon创世蛋地板价涨至1400MAGIC附近:1月7日消息,Treasure生态链游TheBeacon创世蛋系列地板价涨至1400MAGIC(约合0.55ETH)附近。此前项目官方在社群表示,创世蛋系列将于1月20日孵化,新的地下城活动也计划于1月20日推出。[2023/1/8 11:00:26]

0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5

#2攻击流程

1.攻击者从攻击的前一天发起了提案交易,提案通过会提取Beanstalk:BeanstalkProtocol合约中的资金。

Multichain:Moonbeam和Moonriver已暂停跨链桥:8月2日消息,跨链路由协议Multichain发推表示,已暂停Moonbeam和Moonriver跨链桥,待链主网恢复交易后可安全跨链。

此前消息,Nomad跨链桥遭攻击,损失或达1.65亿美元。[2022/8/2 2:52:32]

2.黑客通过闪电贷换取了350,000,000个DAI,500,000,000个USDC,150,000,000个USDT,32,100,950个BEAN和11,643,065个LUSD作为资金储备。

3.黑客将2步骤的DAI,USDC,USDT资金在Curve.fiDAI/USDC/USDT交易池中添加为979,691,328个3Crv流动性代币,用15,000,000个3Crv换来15,251,318个LUSD。

声音 | 余弦:Grin和Beam的重要突破点只有暗网接受:慢雾科技联合创始人余弦在微博上表示:Grin 和 Beam 的重要突破点只有一个:暗网接受。其他匿名币同理,否则别谈核心价值。 ???暗网目前接受主要列表:BTC BCH LTC ETH XMR ZEC DASH XRP DOGE。[2019/7/15]

4.将964,691,328个3Crv代币兑换为795,425,740个BEAN3CRV-f用于投票,将32,100,950个BEAN和26,894,383LUSD添加流动性得到58,924,887个BEANLUSD-f流动性代币。

动态 | 以太坊2.0的Beacon测试网正式上线:5月7日,分片开发公司Prysmatic Labs的联合创始人Preston Van Loon在Meduim上宣布太坊2.0的Beacon(信标链)测试网正式上线。Preston进一步补充道:“目前测试网可以公开访问,我们提供了一个参与共识的节点社群,任何人都可以参与维护网络。[2019/5/9]

5.使用4步骤中的BEAN3CRV-f和BEANLUSD-f来对提案进行投票,导致提案通过。从而Beanstalk:BeanstalkProtocol合约向攻击合约转入了36,084,584个BEAN,0.54个UNI-V2,874,663,982个BEAN3CRV-f以及60,562,844个BEANLUSD-f。

6.最后攻击者将流动性移除并归还闪电贷,把多余的代币兑换为24830个ETH转入攻击者账户中。

#3漏洞分析

本次攻击主要利用了投票合约中的票数是根据账户中的代币持有量得到的。

攻击者至少在一天前发起提取Beanstalk:BeanstalkProtocol资金的提案,然后调用emergencyCommit进行紧急提交来执行提案,这个就是攻击者1天之前发起攻击准备的原因所在。

#4资金追踪

截止发文时,攻击者获利22029601个USDC,14742429个DAI,6,603,829个USDT与0.5407个UNI-V2,640224美元的BAEN代币资金近8000万,在攻击时将其中的25万USDC捐赠了乌克兰,之后攻击者将资金转换为ETH并将资金持续向Tornado.Cash转移。

针对本次事件,成都链安技术团队建议:

1.投票所用资金应在合约中锁定一定时间,避免使用账户的当前资金余额来统计投票数量,以避免可能出现的反复投票以及使用闪电贷进行投票;

2.项目方和社区应关注所有提案,如果提案是恶意提案,建议在提案投票期间应及时做出处理措施,将提案废弃,禁止其接受投票以及执行;

3.可考虑禁止合约地址参与投票;此外项目上线前最好进行全面的安全审计,规避安全风险。

标签:BEAUSDBEANSALKbear币怎么样VUSD价格BEANS币Walken

Ethereum热门资讯
EFI:DeGame线上圆桌活动回顾:STEPN如何引爆GameFi 2.0?-ODAILY_defi币是什么币

内容整理:付茗瑶 后期编辑:张悦然、JaniceDeGame.com是新加坡区块链公司L2Y旗下的去中心化区块链游戏聚合平台,为玩家与投资者提供一站式体游戏体验.

SIGMA:SupraOracles与流动性协议Sigmadex达成合作-ODAILY_DEX

SupraOracles宣布与Sigmadex合作,Sigmadex是一个由其社区管理的去中心化、跨链和多资产市场.

SIG:创宇区块链三月安全月报-ODAILY_ADE

前言 三月以来发生的安全事件数量之多、涉及到的金额之高令人沉默,据知道创宇区块链安全实验室数据显示:该月发生的安全事件超34起.

BEA:从虚拟餐厅到虚拟时装秀,行业巨头掀起元宇宙商标注册潮-ODAILY_区块链

自从Facebook更名为Meta后,关于元宇宙的讨论愈发激烈,这一词汇也越来越多的出现在我们的视野里。这是一个非常有趣的话题.

CER:《福布斯》:TRON DAO是世界上最大的DAO-ODAILY_Rootkit Finance

据最新消息,权威媒体《福布斯》日前发布文章《AreRealEconomiesReadyForDAOs?》,文章对TRONDAO大加赞赏,并称TRONDAO是世界上最大的DAO.

ION:去「匿名化」,加密世界和现实世界共存也许就差一下「刷脸」-ODAILY_MOO

去年年底各大交易所陆续清退及其余部分国家用户。 一时间币圈大地震,仿佛大限将至。更是直接敲醒了大批用户:去中心化和匿名性并非代表加密世界是处于灰色地带的自由之地,它最终也将走上被监管之路.