比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > AAVE > Info

BEA:Beanstalk Farms攻擊事件分析:惡意提案如何防范?-ODAILY

Author:

Time:1900/1/1 0:00:00

2022年4月17日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,算法穩定幣項目BeanstalkFarms遭黑客攻擊,黑客獲利近8000萬美元,成都鏈安技術團隊第一時間對事件進行了分析,結果如下。

#1事件相關信息

攻擊交易

0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7

攻擊者地址

0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4

攻擊合約

0x79224bC0bf70EC34F0ef56ed8251619499a59dEf

被攻擊合約

周杰倫潮流品牌PHANTACi將在Ezek平臺發布Phanta Bear系列NFT:12月18日消息,NFT平臺Ezek宣布將于2022年1月1日與周杰倫潮流品牌PHANTACi合作發布Phanta Bear系列NFT,該系列NFT共將發行10,000枚。

Ezek是Starvision EntertainmentLtd.(S.E.L)孵化建立在區塊鏈技術上的新一代數字加密互動娛樂平臺,S.E.L創始人WillL和MarkG曾與周杰倫合作推出多部電影。潮流品牌PHANTACi成立于2006年,由流行音樂巨星周杰倫與好友Ric共同打造。該品牌由Jay提出概念,以Fantasy與Phantom之名,結合打造出PHANTACi一詞。[2021/12/19 7:48:27]

0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5

DappLooker數據面板支持Moonbeam Network:9月30日消息,Moonbeam近日宣布與多鏈分析與可視化平臺DappLooker集成。Moonriver以及Moonbeam(網絡啟動后)上的開發者可以使用DappLooker數據面板來分析其鏈上數據。此次集成使項目有能力創建圖表和數據面板,以此跟蹤其智能合約,并在性能和采用方面提供反饋。[2021/9/30 17:17:46]

#2攻擊流程

1.攻擊者從攻擊的前一天發起了提案交易,提案通過會提取Beanstalk:BeanstalkProtocol合約中的資金。

聲音 | Beam創始人:6個月后ASIC礦機將流入Beam礦池 目前是挖掘Beam的好時機:Beam創始人就分叉、抗ASIC、捐款Grin等問題表示,1.BEAM將與Grin項目一起發展,MimbleWimble生態將對雙方都受益;2.6個月(或更久一點)之后,ASIC礦機將流入Beam礦池。Beam將在2020年初再做一次硬分叉,然后挖礦算法將保持不變,所以人們將能夠開發ASIC礦機。對于任何擁有GPU的人,現在是挖掘Beam的好時機;3.目前大約有100家零售商已經接受Beam。此外,Beam同時在推進線下支付、法幣兌換、信用卡買幣等落地業務;4.Beam將依靠隱私區塊鏈助力Web3.0。(區塊律動)[2019/8/20]

2.黑客通過閃電貸換取了350,000,000個DAI,500,000,000個USDC,150,000,000個USDT,32,100,950個BEAN和11,643,065個LUSD作為資金儲備。

動態 | Beam停止出塊近兩個半小時:Beam官方今日在推特表示,區塊停在了25709塊,正在調查原因。據Beam的區塊瀏覽器顯示,Beam的區塊在停止了近兩個半小時后,挖出了25710塊。[2019/1/22]

3.黑客將2步驟的DAI,USDC,USDT資金在Curve.fiDAI/USDC/USDT交易池中添加為979,691,328個3Crv流動性代幣,用15,000,000個3Crv換來15,251,318個LUSD。

4.將964,691,328個3Crv代幣兌換為795,425,740個BEAN3CRV-f用于投票,將32,100,950個BEAN和26,894,383LUSD添加流動性得到58,924,887個BEANLUSD-f流動性代幣。

5.使用4步驟中的BEAN3CRV-f和BEANLUSD-f來對提案進行投票,導致提案通過。從而Beanstalk:BeanstalkProtocol合約向攻擊合約轉入了36,084,584個BEAN,0.54個UNI-V2,874,663,982個BEAN3CRV-f以及60,562,844個BEANLUSD-f。

6.最后攻擊者將流動性移除并歸還閃電貸,把多余的代幣兌換為24830個ETH轉入攻擊者賬戶中。

#3漏洞分析

本次攻擊主要利用了投票合約中的票數是根據賬戶中的代幣持有量得到的。

攻擊者至少在一天前發起提取Beanstalk:BeanstalkProtocol資金的提案,然后調用emergencyCommit進行緊急提交來執行提案,這個就是攻擊者1天之前發起攻擊準備的原因所在。

#4資金追蹤

截止發文時,攻擊者獲利22029601個USDC,14742429個DAI,6,603,829個USDT與0.5407個UNI-V2,640224美元的BAEN代幣資金近8000萬,在攻擊時將其中的25萬USDC捐贈了烏克蘭,之后攻擊者將資金轉換為ETH并將資金持續向Tornado.Cash轉移。

針對本次事件,成都鏈安技術團隊建議:

1.投票所用資金應在合約中鎖定一定時間,避免使用賬戶的當前資金余額來統計投票數量,以避免可能出現的反復投票以及使用閃電貸進行投票;

2.項目方和社區應關注所有提案,如果提案是惡意提案,建議在提案投票期間應及時做出處理措施,將提案廢棄,禁止其接受投票以及執行;

3.可考慮禁止合約地址參與投票;此外項目上線前最好進行全面的安全審計,規避安全風險。

Tags:BEABEAMUSDANTBEANS幣YFMoonBeamUSDJPhantasma

AAVE
WOR:World Mobile項目周報(3月14日—3月21日)-ODAILY

2022年3月14日Cardano生態2022主題云峰會圓滿結束,此次活動由IOHK、WorldMobile、DreamLabs聯合舉辦,以“Cardano生態迎爆發,龍頭生態面對面”為主題.

1900/1/1 0:00:00
TRO:孫宇晨在數字十二生肖獸首專場拍賣中成功拍下全套數字藝術品-ODAILY

據最新消息,格林納達常駐世界貿易組織代表、特命全權大使,波場TRON創始人孫宇晨先生閣下在保利廈門拍賣MetapolyXM-數字十二生肖獸首專場中,成功拍下全套數字藝術品.

1900/1/1 0:00:00
WOR:World Mobile押注非洲,完成Alphabet Loon未完成的夢-ODAILY

電信運營商為坦桑尼亞提供2.5億美元的計劃總部位于倫敦的公司已開始在肯尼亞安裝空中節點 谷歌Loon項目氣球攝影師:MartyMelville/AFP/GettyImages1inch Netw.

1900/1/1 0:00:00
EFI:為何AC要退圈,他會永別Crypto和DeFi嗎?-ODAILY

本期內容腦圖: 今天的話題是:AC為何退圈? 為啥要研究這個呢? 因為理解了AC為何退圈,你就理解DeFi從1.0到2.0的發展,還有DeFi的創新之難.

1900/1/1 0:00:00
USD:電信3.0——第二章-ODAILY

自現代電信誕生以來,該行業一直以閃電般的速度創新、發展和進步。然而,近年來,這種情況有所放緩。硬件和軟件供應商為了保持在高層的地位而扼殺創新,導致全球覆蓋面積增長率下降.

1900/1/1 0:00:00
SEBA:走進Seba Bank:世界上第一家受監管的加密銀行-ODAILY

距離瑞士蘇黎世乘火車不到半小時,在風景如畫的楚格鎮中心,有一座百年歷史的建筑,有著優美的壁畫外墻、古老的木天花板和柔和的百葉窗.

1900/1/1 0:00:00
ads