2022年4月17日,算法稳定币项目BeanstalkDAO遭受黑客攻击,损失已达1.82亿美元,包括7900多万BEAN3CRV-f、163万BEANLUSD-f、3600万BEAN和0.54个UNI-V2_WETH_BEAN。启动入侵的初始资金已被撤回至SynapseProtocol,且大部分收益都被存入Tornado.cash。目前,该项目稳定币BEAN价格已经从约1美元跌至0.136美元,跌幅达86%。
BeanStalk是一个分散的基于信用的稳定币协议。该协议由三个相互连接的组件组成:去中心化价格预言机、去中心化治理系统和去中心化信贷工具。根据该项目的白皮书介绍,BeanStalk使用动态挂钩维护机制,定期将1Bean的价格超过其价值挂钩,而无需集中化或抵押要求。
Degen Zoo疑似遭黑客攻击,目前官方已暂停游戏启动调查:4月2日消息,据官方Telegram公告显示,DAO Maker项目Degen Zoo疑似在Binance Oracle上被黑客攻击。项目团队目前已暂停游戏,并启动调查,并表示截至14时尚未发现任何的漏洞,并且没有办法通过智能合约的错误来孵化更好的动物。目前官方Telegram已被禁言。
此外,另据BscScan区块浏览器显示,地址:0x8E…3c3c在13:06-13:32间在WDZOO开箱中销毁了约200万枚DZOO(约5.8万美元),显示异常情况。[2023/4/2 13:40:42]
此次攻击事件距离AxieInfinity遭到黑客攻击损失6.25亿美元还不到一个月时间,Beanstalk受到了巨大的损失。这次的黑客攻击或源于前一天通过的BIP18,BIP18导致使用治理特权来抽干资金池的精心设计的代码来执行,黑客利用了Beanstalk的“投票合约中的票数是根据账户中的代币持有量来得到的”这一闪电贷漏洞完成了这次的攻击,并将获利的部分USDC转入了乌克兰加密捐赠地址。
跨链桥Wormhol受到黑客攻击,被盗3.26亿美元:金色财经报道,跨链桥Wormhole从Solana那一侧被黑客攻击,whETH被无限增发并且从以太坊上提走了所有的ETH。Wormhole被盗资金价值超过3.26亿美元。该项目的官方推特证实了这一消息,官方称,团队正在调查一个潜在的漏洞,该桥目前处于关闭状态,而官方网站只有:”门户网站暂时不可用”的提示。(Coindesk)[2022/2/3 9:28:52]
下面ArmorsCompanyLimited来具体分析一下黑客的攻击过程。
SushiSwap遭黑客攻击,开发者及时阻止但仍造成1.5万美金损失:11月30日,SushiSwap遭受黑客攻击,随后开发者“0xMaki 源 義経”与团队合作及时阻止了此次攻击行为,但仍造成了1.5万美金的损失。[2020/11/30 22:33:08]
黑客从攻击的前一天发起了交易提案,提案通过以后将会从Beanstalk:BeanstalkProtocol合约中提取资金。首先黑客通过闪电贷换取了3.5亿个DAI、5亿个USDC、1.5亿个USDT、3200万个BEAN和1100万个LUSD作为资金储备。再将这些资金在Curve.fi对应交易对的交易池中添加为3Crv流动性代币,总量达到9.8亿个。接着用1500万个3Crv兑换成LUSD。又将3Crv代币兑换为BEAN3CRV-f用于投票,把3200万个BEAN和近2700万个LUSD添加流动性,这样就成功得到5900万个BEANLUSD-f流动性代币。
公告 | Newdex 官方:表示未遭受黑客攻击:关于“ Fastwin 发布公告称 Newdex 受到攻击,请玩家不要交易 FAST ”事件,Newdex 官方公告表示并未遭受黑客攻击,用户资金是安全的,请放心交易。
去中心化交易所 Newdex 表示已经与 Fastwin 官方确认事件,证实属于 Fastwin 管理员描述错误,目前电报群公告已被撤回。具体攻击情况目前还不明确,请用户及DAPP开发者保持警惕。[2018/12/25]
接着,黑客用BEAN3CRV-f和BEANLUSD-f来对提案发起投票,然后调用emergencyCommit进行紧急提交来执行提案,从而导致提案通过。经过以上一系列的操作,3600万个BEAN、8.75亿个BEAN3CRV-f、6000万个BEANLUSD-f以及0.54个UNI-V2,通过Beanstalk:BeanstalkProtocol合约转入了攻击合约。最后黑客将流动性移除并归还闪电贷,把多余的代币兑换为近2.5万个ETH持续转移至Tornado.Cash。
交易详细信息如图所示:
ETH被分批发送到Tornado.Cash:
Armors安全在此提醒:
首先,还是要对项目代码的安全审计提高重视,建议找行业内正规的安全公司进行全方位的代码审计,并定期检查更新,可使用实时的安全监测服务,避免出现安全风险。其次,项目方应避免使用账户的当前资金余额来统计投票数量,投票所用资金应在合约中设定锁定时间,避免出现可能的反复投票或使用闪电贷进行投票。对于恶意提案,项目方和社区应提高关注度及警惕性,可考虑禁止合约地址参与投票,并设立预警机制,对于恶意提案,需及时作出预警和处理,禁止恶意提案的投票通过和执行。
Armors安全机构成立于2017年,是行业最早成立的专业区块链安全机构之一。Armors是Polygon、BSC、Ethereum、Solana等公链审计合作伙伴,已为超过2000家区块链平台、交易所、钱包、DApp等机构和项目提供安全审计、渗透测试、跨链迁移、平台安全等各方面保障及服务。成立以来,Armors已为客户挽回超过32000个BTC的资产损失。
北京时间4月26日,推特接受了马斯克提出的以?440?亿美元收购该公司的报价,让世界首富距离掌控这家社交媒体平台又近了一步.
2022年4月15日-17日,以“行稳致远,金融助力高质量发展”为主题2022清华五道口全球金融论坛在北京隆重召开.
4月17日,高盛发布报告称,预计未来两年美国经济衰退的几率为35%。报告中提到,美国目前面临的主要挑战是缩小工作岗位和工人之间的差距,并通过收紧金融条件,在不大幅提高失业率的情况下减少就业机会,
2022年4月17日,成都链安链必应-区块链安全态势感知平台舆情监测显示,算法稳定币项目BeanstalkFarms遭黑客攻击,黑客获利近8000万美元.
1.学习区块链、DeFi、NFT的资源合辑本文收集了一些加深对区块链、DeFi、NFT、DAO和其他区块链原生主题的理解的资源和见解.
DAO会是下一次工业革命吗? 基础设施/金融 法律 可持续发展 教育领域 行动主义 IRL(现实生活) 风险投资 艺术 科学 时尚 在我们写下《DAO改变世界的15种方式》后的8个月里.
区块见闻