区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > 以太坊 > 正文

USD:黑客获利近8000万美元 恶意提案如何防范?_CRV

作者:

时间:

2022年4月17日,成都链安链必应-区块链安全态势感知平台舆情监测显示,算法稳定币项目BeanstalkFarms遭黑客攻击,黑客获利近8000万美元,成都链安技术团队第一时间对事件进行了分析,结果如下。

1事件相关信息

攻击交易

0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7

攻击者地址

0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4

攻击合约

0x79224bC0bf70EC34F0ef56ed8251619499a59dEf

被攻击合约

Themis Protocol遭受预言机操纵攻击,黑客获利约37万美元:6月28日消息, DeFi协议Themis Protocol发推确认协议被利用,暂停借贷功能,称目前第一个选择是尝试与黑客合作取回资金,若黑客不愿意合作将与当局合作解决,目前正在制定补偿计划。

据ChainAegis安全监测显示,Themis Protocol遭受预言机操纵攻击,攻击者窃取了37万美元。[2023/6/28 22:05:10]

0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5

2攻击流程

1.攻击者从攻击的前一天发起了提案交易,提案通过会提取Beanstalk:BeanstalkProtocol合约中的资金。

安全团队:SNK项目遭受攻击,黑客获利约19万美元:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,SNK项目遭受攻击(0x7394f2520ff4e913321dd78f67dd84483e396eb7a25cbb02e06fe875fc47013a),黑客利用SNK的邀请奖励机制获利19万美元,目前资金仍在黑客地址中0x7738B2f18d994C7c8Fa10E1FE456069624740f3e,Beosin Trace将持续对资金流向进行监控。[2023/5/10 14:54:01]

2.黑客通过闪电贷换取了350,000,000个DAI,500,000,000个USDC,150,000,000个USDT,32,100,950个BEAN和11,643,065个LUSD作为资金储备。

Wormhole通过Immunefi平台修复一高危漏洞,黑客获1000万美元奖励:5月21日,据Immunefi官方消息,白帽黑客satya0x通过该平台为跨链桥Wormhole检举出一高危漏洞,并因此获得1000万美元奖励金,创下Immunefi平台获奖金额最高记录。该漏洞很快得到修复,没有用户资金受到影响。[2022/5/21 3:32:04]

3.黑客将2步骤的DAI,USDC,USDT资金在Curve.fiDAI/USDC/USDT交易池中添加为979,691,328个3Crv流动性代币,用15,000,000个3Crv换来15,251,318个LUSD。

派盾:Deus Finance再次遭到攻击,黑客获利约1340万美元:金色财经消息,派盾(PeckShield)在Twitter上表示,多链衍生品协议Deus Finance目前被监控到在Fantom网络上遭黑客攻击,黑客获利约1340万美元。

此前3月15日报道,派盾在社交媒体上提醒,Deus Finance目前被监控到在Fantom网络上遭黑客攻击,黑客共计盗走20万枚DAI和1101.8枚ETH。[2022/4/28 2:36:36]

4.将964,691,328个3Crv代币兑换为795,425,740个BEAN3CRV-f用于投票,将32,100,950个BEAN和26,894,383LUSD添加流动性得到58,924,887个BEANLUSD-f流动性代币。

5.使用4步骤中的BEAN3CRV-f和BEANLUSD-f来对提案进行投票,导致提案通过。从而Beanstalk:BeanstalkProtocol合约向攻击合约转入了36,084,584个BEAN,0.54个UNI-V2,874,663,982个BEAN3CRV-f以及60,562,844个BEANLUSD-f。

6.最后攻击者将流动性移除并归还闪电贷,把多余的代币兑换为24830个ETH转入攻击者账户中。

3漏洞分析

本次攻击主要利用了投票合约中的票数是根据账户中的代币持有量得到的。

攻击者至少在一天前发起提取Beanstalk:BeanstalkProtocol资金的提案,然后调用emergencyCommit进行紧急提交来执行提案,这个就是攻击者1天之前发起攻击准备的原因所在。

4资金追踪

截止发文时,攻击者获利22029601个USDC,14742429个DAI,6,603,829个USDT与0.5407个UNI-V2,640224美元的BAEN代币资金近8000万,在攻击时将其中的25万USDC捐赠了乌克兰,之后攻击者将资金转换为ETH并将资金持续向Tornado.Cash转移。

针对本次事件,成都链安技术团队建议:

1.投票所用资金应在合约中锁定一定时间,避免使用账户的当前资金余额来统计投票数量,以避免可能出现的反复投票以及使用闪电贷进行投票;

2.项目方和社区应关注所有提案,如果提案是恶意提案,建议在提案投票期间应及时做出处理措施,将提案废弃,禁止其接受投票以及执行;

3.可考虑禁止合约地址参与投票;此外项目上线前最好进行全面的安全审计,规避安全风险。

标签:BEAUSDSTACRVXLMBEARcoinbase买的USDT不能发送star币最新消息Convex CRV

以太坊热门资讯
TOKEN:周小川:关于数字货币的几点问题及回应_omstoken

2022年4月15日-17日,以“行稳致远,金融助力高质量发展”为主题2022清华五道口全球金融论坛在北京隆重召开.

DOR:欧易研究院:美国经济衰退迹象再现 比特币重返4万区间的二次抉择_欧okex易官网

4月17日,高盛发布报告称,预计未来两年美国经济衰退的几率为35%。报告中提到,美国目前面临的主要挑战是缩小工作岗位和工人之间的差距,并通过收紧金融条件,在不大幅提高失业率的情况下减少就业机会,

NST:黑客攻击事件 算法稳定币项目Beanstalk Farms被盗损失达1.82亿美元_USD

2022年4月17日,算法稳定币项目BeanstalkDAO遭受黑客攻击,损失已达1.82亿美元.

元宇宙:晚间必读5篇 | 腾讯、阿里、字节 你想去谁的元宇宙?_以太坊价格今日行情美元

1.学习区块链、DeFi、NFT的资源合辑本文收集了一些加深对区块链、DeFi、NFT、DAO和其他区块链原生主题的理解的资源和见解.

ORA:10个正在被DAO颠覆的行业_Torah Network

DAO会是下一次工业革命吗? 基础设施/金融 法律 可持续发展 教育领域 行动主义 IRL(现实生活) 风险投资 艺术 科学 时尚 在我们写下《DAO改变世界的15种方式》后的8个月里.

DAO:无限加密货币:加密金融的狂野西部_WEB

加州淘金热 以下是欧洲央行执行委员会成员法比奥·帕内塔在哥伦比亚大学的演讲170年前,美国人向西穿越边境,在淘金热中寻找财富.