2022年5月16日,成都链安链必应-区块链安全态势感知平台舆情监测显示,Ethereum和BNB Chain上FEGtoken项目的FEGexPRO合约遭受黑客攻击,黑客获利约3280?BNB?以及144 ETH,价值约130万美元。成都链安技术团队对事件进行了分析,结果如下。
事件相关信息
本次攻击事件包含多笔交易,部分交易信息如下所示:
攻击交易?(部分)
0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063?(BNB Chain)
0x1e769a59a5a9dabec0cb7f21a3e346f55ae1972bb18ae5eeacdaa0bc3424abd2?(Ethereum)
勒索软件地址今年收到的的加密货币价值已超过2.08亿美元:金色财经报道,根据提供给The Block的数据,区块链分析公司Chainalysis已确认,2021年截至目前,勒索软件地址收到的的加密货币价值已超过2.08亿美元。虽然2020年是勒索软件支出创纪录的一年,超过4.16亿美元,但年中数据表明2021年将超过2020年的数据。在确定的勒索软件支出中,该公司的信息表明,其中大部分流向了不合规的全球交易所。[2021/7/23 1:10:42]
攻击者地址
0x73b359d5da488eb2e97990619976f2f004e9ff7c
攻击合约
0x9a843bb125a3c03f496cb44653741f2cef82f445
被攻击合约(部分)
0x818e2013dd7d9bf4547aaabf6b617c1262578bc7?(BNB Chain)
0xf2bda964ec2d2fcb1610c886ed4831bf58f64948 (Ethereum)
数据:中心化交易所持有的ETH数量一年来持续外流,已不足总供应量的18%:Santiment数据显示,中心化交易所持有的ETH数量自2020年6月以来便持续外流,占ETH总供应量的比例从2020年6月的26%一路跌至今年6月的18%,创下2018年11月以来的最低水平。[2021/7/2 0:23:01]
Ethereum和BNB Chain上使用攻击手法相同,以下分析基于BNB Chain上攻击:
1. 攻击者调用攻击合约(0x9a84...f445)利用闪电贷从DVM合约(0xd534...0dd7)中借贷915.84 WBNB,然后将116.81 WBNB兑换成115.65 fBNB为后续攻击做准备。
2. 攻击者利用攻击合约创建了10个合约,为后续攻击做准备。
BiKi平台今日上线SAL,开盘涨幅达266.91%:据官方消息,BiKi平台今日已上线SAL,开盘涨幅高达266.91%,现报价1046.12USDT。
SalmonSwap 旨在通过向流动性提供者提供持久回报来平衡流动性提供者的短期和长期利益。使用 SalmonSwap,流动性提供商可按比例获得他们提供流动性的每个池所产生的交易费用,且流动性提供者即使在撤回了流动性后,也将继续获得部分交易费用。[2020/9/4]
3. 攻击者接下来将兑换得到的fBNB代币抵押到FEGexPRO合约(0x818e...8bc7)中。
4. ?然后攻击者重复调用depositInternal和swapToSwap函数,让FEGexPRO合约授权fBNB给之前创建好的其他攻击合约。
5. ?然后利用其他攻击合约调用transferFrom函数将FEGexPRO合约中fBNB全部转移到攻击合约(0x9a84...f445)中。
6. 接下来又在LP交易对合约(0x2aa7...6c14)中借贷31,217,683,882,286.007211154 FEG代币和423 WBNB。
7. 然后重复3、4、5步骤的攻击手法,将FEGexPRO合约中大量FEG代币盗取到攻击合约中。
8. 然后归还闪电贷,将获得的WBNB转入攻击合约中完成此笔攻击。
9. 此后,又利用相同的原理,执行了50余笔相同的攻击,最获利约144 ETH和3280 BNB。
本次攻击主要利用了FEGexPRO合约中swapToSwap函数中path地址可控且合约中未对path地址进行有效性校验的漏洞。由于合约中depositInternal函数中更新用户余额时依赖于合约中当前代币余额,攻击者通过传入一个恶意的path地址,调用swapToSwap函数时合约中代币余额并未发生变化,导致攻击者可以反复重置攻击合约在FEGexPRO合约中记录的代币数量,从而让FEGexPRO合约将自身代币反复授权给攻击者所控制的多个恶意合约。
截止发文时,被盗资金仍在攻击者地址(0x73b3...ff7c)中并未转移。
针对本次事件,成都链安技术团队建议:
项目开发时,应该注意与其他合约交互时可能存在的安全风险,尽量避免将关键参数设置为用户可控。如果业务需求如此,则需要严格判断用户输入的参数是否存在风险。此外建议项目上线前选择专业的安全审计公司进行全面的安全审计,规避安全风险。
传统艺术数字化结合NFT在国内掀起了热潮,以实物美术作品为基础铸造NFT过程中存在诸多法律问题,笔者结合近期处理的实务案件和相关法律规定,就其中所涉法律问题做分享如下,供数字藏品交易平台、数字藏品爱好者参考。 我国《著作权法》的立法目的之一在于保护作者的“著作权”以及与著作权有关的“权益”,著作权及权益的载体为作品本身。
从 Paris Hilton 在 *Tonight Show (今夜秀)*上展示她的 NFT,到 ConstitutionDAO 试图购买世上仅存的美国宪法原件之一,web3 已经渗透进了主流文化。然而对早期用户来说,加入 web3 仍然是个复杂又令人困惑的过程。
本文梳理自 DeFi Degen Korpi 在个人社交媒体平台上的观点: 有些人认为,ETH 会在 Merge 完成后砸盘,理由是 Merge 完成后 1200 万枚 ETH 会被解锁并抛售。
近年来,随着元宇宙概念的兴起和火热,叠加疫情下国人对虚拟内容需求的增加、消费级VR硬件快速发展,虚拟数字人的发展也步入快车道。 虚拟人又称数字人,是存在于数字世界的“人”,利用信息技术与人工智能技术,将人全身及肢体动作全方位地进行数字化、可视化复制,最终将现实生活中的人精确地在数字世界中模拟构建出来。
Opensea近日宣布为NFT市场创建了一个名为Seaport的协议。Seaport或许会从根本上改变我们购买/出售/交易NFT的方式。 请以与Uniswap相同的方式看待Seaport。Uniswap通过他们的开源去中心化交易所改变了游戏规则,我们现在将其称为2020年DeFi夏季的一部分。
在上一篇介绍国内NFT市场的文章中,三林提到基于区块链发展而诞生的全新组织方式——DAO。 区块链作为底层技术开始被广泛运用,新的组织架构需求随之产生,DAO就是这样一个新事物。
区块见闻