区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > 波场 > 正文

Beanstalk Farm 攻击事件分析

作者:

时间:

北京时间2022年4月17日,CertiK审计团队监测到Beanstalk协议被恶意利用,导致24,830 ETH和36,398,226 BEAN遭受损失。攻击者创建了一个恶意提案,通过闪电贷获得了足够多的投票,并执行了该提案,从而从协议中窃取了资产。目前,攻击者已将所有的ETH(约4.7亿人民币)转移到了Tornado Cash。

攻击前黑客的准备行动:

攻击者将一些BEAN代币存入Beanstalk,用以创建恶意提案 "InitBip18"。该提案一旦生效,将把协议中的资产转移给攻击者。

正式发起攻击流程:

攻击者闪电贷了3.5亿Dai、5亿USDC、1.5亿USDT、3200万Bean和1160万LUSD。

以太坊联合创始人:他将退出加密货币:以太坊的联合创始人兼加密企业家 Anthony Di Iorio 表示,他将退出加密。在彭博社的一份新报告中,Di Iorio 表示他将推出加密货币,部分原因是“安全问题”。Di Iorio 是加拿大区块链公司 Decentral 的首席执行官兼联合创始人,该公司创建了 Jaxx,这是世界上最受欢迎的加密钱包之一。Di Iorio 表示,他计划在未来几周内以法定货币出售该公司,并且不想专注于更多与加密相关的项目。作为风险投资家,Di Iorio 表示他将不再资助与区块链相关的公司,而是专注于慈善事业和其他风险投资。(dailyhodl)[2021/7/19 1:01:31]

闪电贷的资产被转换为795,425,740 BEAN3Crv-f和58,924,887 BEANLUSD-f。

攻击者将步骤中获得的所有资产存入Diamond合约,并投票给恶意的BIP18提案。

BiKi平台今日ORC 涨幅达76.24%:据官方消息,BiKi平台已上线的ORC(Orbit Chain),今日涨幅高达76.24%,现报价0.139USDT。

Orbit-Chain是一个多资产区块链,通过去中心化的区块链间通信(IBC)来存储、传输和验证存在于各种公共区块链上的信息和资产。Orbit确保了区块链资产的安全可靠转移,同时通过委托实证共识确保了区块链和IBC之间的可扩展性和安全性。[2020/12/3 22:59:05]

函数emergencyCommit()被立即调用以执行恶意的BIP18提案。

在步骤3和4之后,攻击者能够窃取合约中的36,084,584 BEAN, 0.54 UNIV2(BEAN-WETH), 874,663,982 BEAN3Crv及60,562,844 BEANLUSD-f。

攻击者利用在步骤5中窃取的资产来偿还闪电贷,并获得了其余的24,830 WETH和36,398,226 BEAN作为利润。

该漏洞的根本原因:

Silo系统中用于投票的BEAN3Crv-f和BEANLUSD-f?可以通过闪电贷获得。然而,由于Beanstalk协议中缺乏反闪电贷机制,攻击者可以借用该协议所支持的众多代币从而为恶意提案投票。

攻击者如何绕过验证:

为了通过 "emergencyCommit() "执行提案,攻击者需要绕过以下验证。

验证一:确保BIP被提出后,有24小时的窗口期。

验证二:确保对某一特定BIP的投票比例不低于阈值,即?。

由于BIP18提案是在一天前创建,因此验证一可被绕过;通过闪电贷,BIP18提案获得了78%以上的投票,超过了67%,因此绕过了验证二。

漏洞交易

BIP18提案:https://etherscan.io/tx/0x68cdec0ac76454c3b0f7af0b8a3895db00adf6daaf3b50a99716858c4fa54c6f

执行BIP18:https://etherscan.io/tx/0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7

合约地址

受害者合约:https://etherscan.io/address/0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5#code

攻击者合约:https://etherscan.io/address/0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4

恶意提案:https://etherscan.io/address/0xe5ecf73603d98a0128f05ed30506ac7a663dbb69

攻击者初始资金活动:https://arbiscan.io/address/0x71a715ff99a27cc19a6982ae5ab0f5b070edfd35

https://debank.com/profile/0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4/history

通过审计,我们可以发现闪电贷可用于操纵投票这一风险因素。攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警(攻击、欺诈、跑路等)相关的信息。

标签:BEACRYPTOpenSeaETHMETABEANCryptorgopensea币价格EtherSmart

波场热门资讯
如何寻找交易加密货币的“最佳时间”?

与传统市场不同,加密货币市场全天候开放,即使在公共假期也是如此。 加密货币交易的全球性和持续性给交易者带来了许多挑战,其中之一就是寻找最佳交易时间。 那些希望执行大额买卖订单的人需要确定流动性最大的时间和交易量。这就像一个有大量农产品要出售的杂货商,希望在游客最多的最繁忙市场设立自己的摊位。

DeFi如何助力传统资产焕发新活力?

金融界的真正变化是从结合DeFi和CeFi开始的,它正在为主流加密资产的采用铺平道路。 以色列连续创业者Ariel Shapira在其每月的加密技术专栏中,介绍了加密资产、去中心化金融和区块链领域内的新兴技术,以及它们在塑造21世纪经济中的作用。 传统的金融专家对加密资产的想法正在升温,但破纪录的黑客和过度炒作的项目的离奇头条并不一定能扭转它的坏印象。

元宇宙还没焐热乎 工业元宇宙又来了

最近两年哪些词汇最引入关注呢?想必“元宇宙”一词一定会占有一席之地。 据悉,2021年百度、谷歌有关元宇宙一词的搜索量均已达到数十亿量级别,同时2021年也是元宇宙元年。

Will Gottsegen:a16z正在垄断NFT

不要错过区块链,不要旁观元宇宙 Marc Andreessen | 知名投资人 不得不承认,如今的NFT领域已经越来越中心化了,而其背后的推手很可能就是 a16z。 Andreessen Horowitz,也就是我们熟知的“a16z”,是知名投资人Marc Andreessen及其合作伙伴成立的一家创投公司。

Rug Pulls 类型知多少:盘点作恶者行的花式操作

相信对于加密世界中的每一个人来说,「Rug Pulls」都不会陌生。这个词很形象地描绘出了开发团队卷走用户资金跑路或者撤出流动性池资金的行为。而据 Chainalysis 公布的数据显示,2021 年这类局造成的用户损失高达 77 亿美元,相比 2020 年增幅超过了 80%。

2022趋势与潜力项目价值研究:BTC Telegram+ 音乐Opul

2022年开始世界经济进入一个比较魔幻的节奏,美联储的加息,中国的政策都牵动着世界经济的神经。现在又加入了战争这个更加不确定性的因素,2022年的经济价值也许会进一步趋向务实与实际应用的回归,纯Fomo炒作的长期可持续性应该会大幅度下降。世界随时可能会进入一个萧条周期,当然哪怕在萧条周期,也会有闪光点。