2022年5月19日,据Beosin-Eagle Eye态势感知平台消息,Arbitrum公链上项目Swaprum项目疑是发生Rug Pull,涉及金额约300万美元。
Beosin安全团队第一时间对事件进行了分析,发现了项目方部署的流动性抵押奖励池存在后门,项目方(Swaprum: Deployer)利用了add()后门函数盗取了用户抵押的流动性代币,以达到移除交易池子的流动性获利的目的。
事件相关信息
攻击交易(由于存在大量的攻击交易,这里仅展示部分)
Offchain Labs再次积累136.7万枚ARB:金色财经报道,据Spot On Chain 数据监测,Offchain Labs2小时前通过0xb41开头地址从Binance以0.95美元进一步积累了136.7万枚ARB(130万美元)。
过去4天总累积:308.7万ARB(300万美元),平均0.97美元。[2023/8/27 12:59:09]
攻击者地址
0xf2744e1fe488748e6a550677670265f664d96627(Swaprum: Deployer)
漏洞合约
0x2b6dec18e8e4def679b2e52e628b14751f2f66bc
币安完成USDC于Arbitrum One网络的集成,并开放充值业务:金色财经报道,据官方公告,币安现已完成USD Coin(USDC)于Arbitrum One网络的集成,并开放USD Coin(USDC)代币于Arbitrum One网络的充值业务。USD Coin(USDC)于Arbitrum One网络的提现业务将在确认充值足量后开放,不再另行公告。[2023/6/14 21:36:59]
(TransparentUpgradeableProxy Contract)
0xcb65D65311838C72e35499Cc4171985c8C47D0FC
(Implementation Contract)
Messari:年初至今Arbitrum日均交易笔数超66万,为Optimism两倍多:4月23日消息,Messari在一份报告中表示,年初至今,Arbitrum的日均交易笔数约为66万多笔,是Optimism的两倍多。[2023/4/23 14:21:17]
为了方便展示我们以其中两笔交易为例:
https://arbiscan.io/tx/0x36fef881f7e9560db466a343e541072a31a07391bcd0b9bcdb6cfe8ae4616fc0(调用add后门函数盗取流动性代币)
https://arbiscan.io/tx/0xcb64a40d652ff8bfac2e08aa6425ace9c19f0eeb4a6e32f0c425f9f9ea747edf(移除流动性获利)
基于Axelar的DeFi流动性协议Squid新增支持Arbitrum:金色财经报道,基于Axelar的DeFi流动性协议Squid现已支持Arbitrum,用户可在Arbitrum网络与主要EVM链之间交换代币。目前,Squid已支持以太坊、Avalanche、Polygon、BNBChain、Fantom、Moonbeam、Celo等多个网络。[2023/3/6 12:44:46]
1. Swaprum项目方(Swaprum: Deployer)通过调用TransparentUpgradeableProxy 合约的add()后门函数盗取用户质押在TransparentUpgradeableProxy 合约的流动性代币。
2.通过将实现合约反编译后,add()函数确实存在后门。该后门函数会将合约中的流动性代币转账给_devadd地址[通过查询_devadd地址,该地址返回为Swaprum项目方地址(Swaprum: Deployer)]。
3.Swaprum项目方(Swaprum: Deployer)利用第一步盗取的流动性代币移除流动性代币从而获取大量的利益。
4.值得注意的是,项目方原本的流动性抵押合约并无漏洞,而是通过升级的方式将正常的流动性抵押奖励合约
(https://arbiscan.io/address/0x99801433f5d7c1360ea978ea18666f7be9b3abf7#code)
替换为了含有后门的流动性抵押奖励合约
(https://arbiscan.io/address/0xcb65d65311838c72e35499cc4171985c8c47d0fc#code)
本次攻击主要原因是Swaprum项目方利用了代理合约可切换实现合约的功能,将正常的实现合约切换至存在后门函数的实现合约,从而后门函数盗取了用户抵押的流动性资产。
截止发文时,Beosin KYT反分析平台发现被盗的约1628个ETH(约300万美金)资金已跨链至以太坊上,并且向Tornado Cash存入了1620个ETH。
Beosin
企业专栏
阅读更多
金色荐读
金色财经 善欧巴
迪新财讯
Chainlink预言机
区块律动BlockBeats
白话区块链
金色早8点
Odaily星球日报
Arcane Labs
欧科云链
随着加密货币市场的持续繁荣,MEME币已经成为了一种不可忽视的力量。截至笔者撰稿,据CoinMarketCap统计,当前交易量最高的十大MEME币包括Pepe、Dogecoin、Milady M.
原文作者:Emperor Osmo 原文编译:Felix, PANewsCrypto 领域通常被描述为“狂野的西部”.
原文:The Write Dude 编译:GWEI Research如果你认为这篇文章的标题应该是“游戏将如何推动全球 Web3 的采用”,就好像这是未来的某种方式.
原文作者:Matti原文编译:Kxp,BlockBeats近期,我们与一位创始人通了电话,他正为产品宣传感到苦恼.
各位读者,早上好!这篇文章将介绍我在过去几年中担任加密投资人期间学到的三个反直觉经验。当然,我也会在以后的文章中探讨更加有趣的话题。1. 构建投资组合比选择正确的公司更加重要.
原文作者:Peter 进化是宇宙中最强大的力量,是唯一永恒的东西,是一切的驱动力。———桥水基金 雷.达利奥时间拉长,进化才是人类的主旋律。过去,环境的变化是进化的主因.