区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > ETH > 正文

黑客获利近8000万美元 恶意提案如何防范?

作者:

时间:

2022年4月17日,成都链安链必应-区块链安全态势感知平台舆情监测显示,算法稳定币项目Beanstalk Farms遭黑客攻击,黑客获利近8000万美元,成都链安技术团队第一时间对事件进行了分析,结果如下。

1 事件相关信息

攻击交易

0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7

攻击者地址

0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4

攻击合约

0x79224bC0bf70EC34F0ef56ed8251619499a59dEf

被攻击合约

0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5

2 攻击流程

1. 攻击者从攻击的前一天发起了提案交易,提案通过会提取Beanstalk: Beanstalk Protocol合约中的资金。

2. 黑客通过闪电贷换取了350,000,000个DAI,500,000,000个USDC,150,000,000个USDT,32,100,950个BEAN和11,643,065个LUSD作为资金储备。

数据:1243枚BTC从Coinbase转入币安:金色财经报道,WhaleAlert数据显示,1,243枚BTC(约25,029,681美元)从Coinbase转移至币安。[2022/9/18 7:03:47]

3. 黑客将2步骤的DAI,USDC,USDT资金在Curve.fi DAI/USDC/USDT交易池中添加为979,691,328个3Crv流动性代币,用15,000,000个3Crv换来15,251,318个LUSD。

4. 将964,691,328个3Crv代币兑换为795,425,740个BEAN3CRV-f用于投票,将32,100,950个BEAN和26,894,383LUSD添加流动性得到58,924,887个BEANLUSD-f流动性代币。

5. 使用4步骤中的BEAN3CRV-f和BEANLUSD-f来对提案进行投票,导致提案通过。从而Beanstalk: Beanstalk Protocol合约向攻击合约转入了36,084,584个BEAN,0.54个UNI-V2,874,663,982个BEAN3CRV-f以及60,562,844个BEANLUSD-f。

6. 最后攻击者将流动性移除并归还闪电贷,把多余的代币兑换为24830个ETH转入攻击者账户中。

3 漏洞分析

本次攻击主要利用了投票合约中的票数是根据账户中的代币持有量得到的。

攻击者至少在一天前发起提取Beanstalk: Beanstalk Protocol资金的提案,然后调用emergencyCommit进行紧急提交来执行提案,这个就是攻击者1天之前发起攻击准备的原因所在。

4 资金追踪

截止发文时,攻击者获利22029601 个USDC ,14742429个 DAI,6,603,829个USDT与0.5407个UNI-V2,640224美元的BAEN代币资金近8000万,在攻击时将其中的25万USDC捐赠了乌克兰,之后攻击者将资金转换为ETH并将资金持续向Tornado.Cash转移。

针对本次事件,成都链安技术团队建议:

1. 投票所用资金应在合约中锁定一定时间,避免使用账户的当前资金余额来统计投票数量,以避免可能出现的反复投票以及使用闪电贷进行投票;

2. 项目方和社区应关注所有提案,如果提案是恶意提案,建议在提案投票期间应及时做出处理措施,将提案废弃,禁止其接受投票以及执行;

3. 可考虑禁止合约地址参与投票;此外项目上线前最好进行全面的安全审计,规避安全风险。

标签:WITBEANSTTALWITH币MRBEANonston币币币情CardanoTales

ETH热门资讯
金色早报 | 以太坊基金会发布运营报告

头条 ▌以太坊基金会运营报告:截至2022年一季度末财库资金约16亿美元,2021年共支出4800万美元 4月18日消息,以太坊基金会公布截至2022年第一季度的运营报告。报告显示,截至2022年3月31日,以太坊基金会财库资金约为16亿美元,其中加密资产约为13亿美元,非加密资产3亿美元,13亿美元加密资产中99.1%为以太坊。

Coinbase:关于跨链桥的基础知识、事实和统计数据

桥是一个较新的概念,在2021年开始流行。桥允许加密货币持有者在不同区块链之间“移动”(或“桥接”)他们的资产。这使他们能够从一条链跳到另一条链并接触其他网络。 我们发现从2021年4月开始,以太坊的跨链活动急剧增加。以太坊桥的每日存款活动数量在2021年夏季达到峰值,以太坊桥接的单日最高记录超过6万笔交易发生在2021年9月12日。

金色观察 | 马斯克与Twitter风波

因为收购问题,马斯克与Twitter在国际市场的关注度正高。 4月14日,特斯拉 CEO 埃隆·马斯克向 Twitter 发出收购要约,拟以每股 54.20 美元的现金形式将其收购,整体估值约为 434 亿美元。

部谈电信网络犯罪:手法加速迭代变化

新型网络犯罪已成为主流犯罪,手法加速迭代变化,攻防对抗不断加剧升级,跨国有组织特征日趋明显……在14日上午国新办举行的新闻发布会上,部刑事侦查局局长刘忠义就电信网络犯罪出现的一些新变化、新特点进行了介绍。 刘忠义称,电信网络犯罪严重侵害人民群众切身利益和财产安全,有的群众被的倾家荡产,有的企业被的停工破产,广大人民群众对此深恶痛绝。

如何寻找交易加密货币的“最佳时间”?

与传统市场不同,加密货币市场全天候开放,即使在公共假期也是如此。 加密货币交易的全球性和持续性给交易者带来了许多挑战,其中之一就是寻找最佳交易时间。 那些希望执行大额买卖订单的人需要确定流动性最大的时间和交易量。这就像一个有大量农产品要出售的杂货商,希望在游客最多的最繁忙市场设立自己的摊位。

DeFi如何助力传统资产焕发新活力?

金融界的真正变化是从结合DeFi和CeFi开始的,它正在为主流加密资产的采用铺平道路。 以色列连续创业者Ariel Shapira在其每月的加密技术专栏中,介绍了加密资产、去中心化金融和区块链领域内的新兴技术,以及它们在塑造21世纪经济中的作用。 传统的金融专家对加密资产的想法正在升温,但破纪录的黑客和过度炒作的项目的离奇头条并不一定能扭转它的坏印象。