事件概覽
北京時間2021年3月4日,根據輿情監測,BSC生態DeFi項目Meerkat?Finance疑似跑路,其自稱金庫合約遭遇到黑客攻擊,黑客利用漏洞盜取了金庫中的全部資金。目前該項目網站已經無法打開。
原文鏈接如下:
https://www.bishijie.com/kuaixun/909558.html
成都鏈安安全團隊第一時間針對該事件啟動安全響應,針對用戶攻擊地址
香港金管局:銀行間開放API問題需在9月前解決,含虛擬銀行:金色財經報道,香港金管局為推動銀行與銀行間開放應用程式接口(開放API)期望業界在9月之前能夠解決整合遇到的技術難題(Defects),爭取今年底前正式啟用銀行間客戶數據分享平臺(Inter-Bank Account Data Sharing,IADS),據悉參與香港開放API有28家銀行,包括3家發鈔銀行、中小型銀行及虛擬銀行。金管局要求銀行提供更具體的推進時間,但能否于今年度香港金融科技周舉行期間(10月30日至11月5日)作進一步公布仍有待觀察。[2023/7/29 16:06:18]
進行跟蹤。經過跟蹤攻擊者地址,我們發現,攻擊者分別地一次性地將大量資金進行轉出,如圖1所示。盡管官方自稱是遭遇了黑客攻擊,但根據我們的分析結果,基本能夠斷定Meerkat?Finance項目方已經跑路。
sudoswap總交易額突破3000萬美元,用戶地址總數突破2萬個:8月30日消息,據Dune數據顯示,sudoswap平臺總交易額達17651 ETH,約合3037萬美元。用戶地址總數達到20389個,交易NFT總數達到126319枚,共計產生87.93 ETH平臺費用,約合15.1萬美元。[2022/8/30 12:57:12]
圖1
圖2
事件分析
緊接著,我們開始針對轉移盜竊資金的兩筆交易進行分析,發現攻擊者直接通過調用金庫合約的一個函數,將金庫合約中的資金全部轉走;而金庫合約使用的是可升級的代理合約,也就是實際邏輯是可以進行更改的,其權限在項目方。
Immutable宣布推出5億美元風投基金以促進Web3游戲采用:6月17日消息,以太坊NFT擴容方案提供商Immutable宣布推出5億美元風投基金以促進Web3游戲采用。這筆資金將用于資助在其L2擴展平臺Immutable X上構建Web3游戲和NFT的項目。此外,該基金還將與其他專注于Web3游戲和NFT的投資者合作,包括BITKRAFT、Animoca Brands、Arrington Capital、Double Peak、Air Tree、King River Capital和GameStop,以獲得更多投資機會。(techcrunch)[2022/6/17 4:35:22]
圖3
圖4
根據記錄還可得出,項目方在WBNB金庫盜竊中,代理合約的實際邏輯還是正常的金庫合約,在攻擊時才將合約邏輯替換成存在后門的合約。但是在盜取BUSD的交易中,項目方索性扯下了自己的“遮羞布”,一開始就部署的是存在后門的合約。如圖5所示:
圖5
成都鏈安安全團隊發現兩次攻擊所用的后門合約都是同一套代碼,我們在對其中一個合約進行反編譯時分析發現,其就是一個將代幣進行轉移的函數。如圖6所示:
圖6
最終,我們得出結論,本次事件顯然是項目方預謀的釣魚事件,從一開始就是奔著跑路去的;而在本次事件中,代碼層的罪魁禍首就是“可升級的代理合約”給予了項目方過大的權限,導致項目方盜取用戶資金,如同探囊取物。
安全建議
成都鏈安安全團隊認為,對于“可升級的代理合約”,在審計角度來看,為了保證項目的可維護性和迭代可能,保留這類權限并不是不可取的。即使在日常的安全審計工作中,我們也不能要求項目方取消這類權限。但權力是一把雙刃劍,是好是壞則取決于使用它的人。在成都鏈安出具的安全審計報告中,我們一直以來都有對此類權限加以說明。同時,在這里有必要提醒廣大用戶選擇投資項目時,一定要詳細閱讀安全審計報告中的細節描述,特別是我們給出的潛在風險提示及安全建議。
最后,需要引起注意到是,我們監測到攻擊者在使用transferFrom函數盜取用戶錢包內已授權給金庫合約的資金,目前已有用戶錢包內的資金被盜16萬BUSD。
在此,成都鏈安安全團隊特別提醒各位已參與此項目的用戶,立即取消對該項目地址的授權,或立即轉移錢包內的資金,避免造成二次損失。
BSC授權檢查地址如下:
https://bscscan.com/tokenapprovalchecker
來源:金色財經
Tags:APIWeb3游戲WEB3WEBRapidly Reusable Rocketweb3游戲邊玩邊賺METAWEB3PA幣web3游戲開發
已經遠去的背影,突然間變的很陌生,已經單邊的行情,突然間變的很刺激,朋友間剩下了冷清和寂靜,市場間留下了瘋狂與喧鬧.
1900/1/1 0:00:00人生工作室 03-0507:05科技達人 關注 23:00-07:00 關鍵詞:SamSharm、比特幣、PaxTreasury、美股收盤、中環球船務、GaryBlack、嘉信理財、巴西RAS銀.
1900/1/1 0:00:00比特昨天日間小幅度一波沖高后,晚間走出回踩,迅速回落幣價多頭并沒有得到延續熊市,牛市,不是我們需要操心的,無非就是給到一個大方向,做單選擇主攻目標而已牛市是沒走,但是也沒回歸,多頭可以充值信仰.
1900/1/1 0:00:00消息面: 財經數據顯示,全球加密貨幣總市值約為1.42萬億美元。加密貨幣市場中占比排名第一的是BTC,市值約合9144.21億美元,當前市值占比為64.25%;ETH排名第二,市值約合1770.
1900/1/1 0:00:00市場是無止境的,行情是不斷演變的,交易是永不停止的,雖然我們不能把每一波行情都做到,但我們可以抓住瞬息萬變的機會,用客觀冷靜的態度對待市場,分析市場,等待市場,為每一次交易做充分的準備.
1900/1/1 0:00:00MakerDAO發布2月份財報,該月凈收入約達660萬美元,為659萬美元,比上個月增長116%。與上個月相比,所有重要指標都有最低91%的增長,與上一年相比,增長幅度則達1300%.
1900/1/1 0:00:00