比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > 聚幣 > Info

UMB:UmbNetwork獎勵池攻擊事件分析-ODAILY

Author:

Time:1900/1/1 0:00:00

一、前言

北京時間2022年3月21日,知道創宇區塊鏈安全實驗室監測到BSC鏈和以太坊上的UmbNetwork獎勵池遭到黑客攻擊,損失約70萬美元。實驗室第一時間對本次事件進行跟蹤并分析。

二、基礎信息

攻擊者地址:0x1751e3e1aaf1a3e7b973c889b7531f43fc59f7d0

韓國金融監管部門將Coinone接受為虛擬資產服務提供商,對Bithumb持保留意見:11月11日消息,韓國金融服務委員會的金融情報部門(FIU)將Coinone接受為虛擬資產服務提供商(VASP),但對Bithumb持保留意見。在Coinone之外,提交報告的29家交易所中只有3家被認定為VASP。(CoinDesk)[2021/11/11 21:43:41]

攻擊合約:0x89767960b76b009416bc7ff4a4b79051eed0a9ee

動態 | 1000萬枚XRP從Bithumb轉入未知地址:據Whale Alert監測,北京時間9月7日16:49:40,Ripple區塊鏈上Bithumb錢包地址(r9LHiNDZv開頭)向未知錢包地址(rDFCAU開頭)轉入1000萬枚XRP(價值約2535476美元),交易哈希值為3E60564F72D7BB6A22D553F78C9F6A84ABD8F3215B6C86641BC65683A0DABB42。[2019/9/7]

StakingRewards合約:0xB3FB1D01B07A706736Ca175f827e4F56021b85dE

Bithumb強烈否認新幣上市信息泄露:5月24日,韓國虛擬貨幣業內流傳出疑似bithumb職員泄露將要新幣種上市信息的截圖。對此Bithumb強烈否認稱:“Bithumb運用上市前一天告知用戶等方法的透明體系,據了解內部未發現職員事先透漏的現象。”[2018/5/24]

以太坊交易哈希:0x33479bcfbc792aa0f8103ab0d7a3784788b5b0e1467c81ffbed1b7682660b4fa

BSC交易哈希:0x784b68dc7d06ee181f3127d5eb5331850b5e690cc63dd099cd7b8dc863204bf6

三、漏洞分析

此次事件,漏洞關鍵在于UmbNetwork獎勵池的StakingRewards合約中的_balance函數出現溢出漏洞,合約未校驗檢查balance的值,攻擊者通過amount發起下溢攻擊,抽空了池子中的代幣。

從合約代碼我們可以看出,合約未正確使用SafeMath安全庫且未作溢出檢查,導致此次攻擊發生。

四、攻擊流程

攻擊者從BSC鏈發起攻擊獲取156枚pancake-LP代幣:

攻擊者在以太坊上發起攻擊獲取8792枚UNI-V2代幣:

隨后攻擊者分別將代幣轉分別換成ETH、UMB和BNB,獲利約70萬美元。

五、分析

本次攻擊事件核心是由于合約未正確使用SafeMath庫并且未對合約進行溢出檢查導致合約出現溢出漏洞,而導致了此次事件的發生,建議項目方多加注意檢查合約是否正確使用各類安全庫。

近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。

Tags:UMBHUMITHBithumbColumbusHumanodeZENITHbithumb交易所中文名

聚幣
Qredo:Qredo治理讓多方在管理數字資產時受益-ODAILY

Qredo令對沖基金、銀行和企業能夠通過機構級安全性和精細治理,來克服數字資產的運營挑戰和業務風險。同樣的工具可以也為任何人群配置——從家人和朋友,到自由職業者和投資俱樂部.

1900/1/1 0:00:00
區塊鏈:SupraOracles專題報告:區塊鏈與教育的未來-ODAILY

區塊鏈可以驗證信息,減少欺詐,幫助創建次世代教育機構今天的教育系統面臨比以往更多的挑戰和問題,尤其是在美國。大學學費的大幅上漲、行政成本的增加和其他問題只是強調了教育行業變革的必要性.

1900/1/1 0:00:00
DAO:DAOrayaki:加入DAO的一些注意事項-ODAILY

前言 有人說DAO是世界第八大奇跡。DAO被認為是神奇的地方,那里的一切看起來都很酷,并且在2022年你必須成為其中的一部分.

1900/1/1 0:00:00
DEX:一文讀懂DEX一站式應用DexGuru-ODAILY

DEX市場規模正在以驚人的速度增長,今年1月其總成交量達1286億美元,對比去年同期增長1.4倍;而在2020年1月這一數字僅為6億美元,歷史以跳躍的形式向前推進.

1900/1/1 0:00:00
BEA:Beanstalk Farm攻擊事件分析:只要票數足夠多,惡意提案也可卷走數億資產-ODAILY

北京時間2022年4月17日,CertiK審計團隊監測到Beanstalk協議被惡意利用,導致24,830ETH和36,398,226BEAN遭受損失.

1900/1/1 0:00:00
比特幣:孫宇晨閣下在比特幣紀錄片《Aligning The Future》中的精彩片段(一)-ODAILY

格林納達常駐世界貿易組織代表、特命全權大使、波場TRON創始人孫宇晨先生閣下受邀參與的紀錄片《AligningTheFuture》中英字幕完整版已正式上線.

1900/1/1 0:00:00
ads