2月10日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,DeFi應用DegoFinance遭到黑客攻擊,UniSwap和PancakeSwap上的DEGO流動性已被耗盡。關于本次攻擊,成都鏈安技術團隊第一時間進行了資金流向分析。
#1事件概覽
據悉,DegoFinance于2020年9月啟動,以打造可持續性和實用性的NFT生態系統為目標,打造了NFT+DeFi平臺。有人說,在DeFi的世界里,DEGO就相當于樂高。將每一個DeFi協議當作是一塊磚,包括穩定幣(DAI)、借貸(Aave,Compound)、去中心化交易所DEX(UniswapandBalancer)、衍生品(Synthetix)和保險(NexusMutual)等等。
Lifeform將向早期用戶發放LFT代幣空投,已完成快照:7月31日消息,視覺DID基建提供商Lifeform發推稱,在區塊高度30342850(BSC)和17787821(ETH)為符合LFT代幣空投條件的地址拍攝快照。此次代幣空投將是對Lifeform早期用戶的獎勵。[2023/7/31 16:09:08]
2月10日,DegoFinance官方推特發布公告稱被黑客攻擊,DeFi世界的樂高就這樣“塌了”!
本次攻擊涉及多個賬戶地址私鑰泄露,黑客利用私鑰提取了多個鏈上的資產,具體分析請接著往下閱讀。
#2事件具體分析
Gucci已刪除“接受Ape Coin”支付”相關推文:8月2日消息,Gucci已刪除“接受Ape Coin”相關推文。此前報道,奢侈品品牌Gucci宣布其美國部分門店現在通過BitPay接受ApeCoin支付方式[2022/8/2 2:54:22]
我們以ETH鏈上攻擊為例,對Dego項目方其中一個地址的資金流向做了詳細分析。
首先,項目方私鑰泄露的DEGO.Finance:Deployer地址為:
0x20FE4B1eD95911487499e53355BB8f14a881D735
攻擊者地址為:
Stark Ware在測試網推出StarkNet Alpha0.9.0版:6月14日消息,以色列零知識證明研發機構StarkWare宣布在測試網上推出Stark Net Alpha0.9.0版本,新版本中費用是強制性的,其他升級或變更包括引入合約類(Contract Classes)和合約實例(contract instance)分離,允許在StarkNet上啟用工廠模式(factory pattern),同時,委托調用替換為庫調用(librarycall)。StarkWare表示,即將把StarkNet Alpha0.9.0版本部署在主網上,并計劃在下個版本中在排序器中引入并行化(parallelization),從而實現更快的出塊,還將側重于StarkNet的帳戶結構。[2022/6/14 4:26:20]
0x118203B0f2A3ef9e749D871C8fEF5e5e55ef5C91
1?攻擊者通過私鑰,使用minter權限分別向DEGO.Finance:Deployer賬戶和0x118賬戶鑄造了592,582.35個dego代幣。
2?之后移除ETH-dego交易池的流動性。
3?攻擊者通過DEGO.Finance:Deployer賬戶移除流動性獲取了269,502個dego代幣和378個ETH。
4然后將DEGO.Finance:Deployer賬戶獲取的378個ETH轉給了0x118地址。
同時,該黑客轉移原本屬于項目方地址的441個yvWETH給0x118地址。
此時0x118賬戶上有獲利的750.37個ETH和其他轉入的7.10個ETH一共757.4個。
截止目前發文,在Ethereum鏈上,攻擊者在0x118地址將441個yvWETH轉入Zapper.Fi:YearnyVaultZapOut兌換了445個ETH,獲取共1202個ETH,轉入Tornado.Cash:Proxy400ETH。向0x47a344588653efA88eB6D58433B6A2A5E202D65d地址轉入202個ETH。
在Cronos鏈上,在0x118地址獲取了196256.7個USDT和199401.9個USDCoin,還未轉出。
在BSC鏈上,獲取3736.17個BNB,通過代幣兌換獲取9188個BNB。向0x47a344588653efA88eB6D58433B6A2A5E202D65d地址轉入了12,741個BNB。
三條鏈上0x118地址總計約17,627,676美元,目前,官方稱正在調查原因并試圖挽回損失。
隨著DeFi的不斷發展,DeFi項目的安全問題也愈發緊急。對比于傳統金融,DeFi的底層靠的是智能合約,本質上是程序,程序擁有傳統金融不可比擬的高效性和便捷性,但也存在傳統金融無需考慮的代碼漏洞問題。所以成都鏈安建議大家,對未公開智能合約和審計報告的項目,要保持警惕,項目方也需要避免私鑰泄露,導致項目受損。
擴展閱讀:
純干貨分享|DEFI安全問題之基礎篇
當DeFi淪為黑客的“提款機”,我們如何保證它的安全性?
據BitMartResearch?報道,波場TRX被評為BitMart交易所最受歡迎的通證之一.
1900/1/1 0:00:00原文標題:《OKXVentures2021年投資盤點:覆蓋熱點賽道,助力頭部項目生態建設》2021年,是加密生態迅猛發展并獲得歷史性突破的一年:受宏觀經濟環境影響.
1900/1/1 0:00:00俄羅斯總統弗拉基米爾?普京(VladimirPutin)為加密貨幣愛好者帶來了對該國數字資產未來的一線希望。最近,該國禁止加密貨幣和挖礦的努力對數字資產構成了威脅.
1900/1/1 0:00:00原文標題:《AdetailedlookatJuiceBox’slargestDAO-AssangeDAO》作者:D-TigerResearchInstituteAssangeDao事件經過朱利安.
1900/1/1 0:00:00游戲是元宇宙最佳切入點,GameFi更是火遍整個加密圈,在經歷了短暫的冷淡期后GameFi又迎來了高速發展.
1900/1/1 0:00:00作者:閆學功 原文標題:《字節跳動悄咪咪湊齊元宇宙“三件套”》為了買下元宇宙這張馬化騰口中“未來10年的互聯網船票”,字節跳動已經砸了幾百億元的真金白銀.
1900/1/1 0:00:00