比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > FTX > Info

BEA:黑客攻擊事件 算法穩定幣項目Beanstalk Farms被盜損失達1.82億美元

Author:

Time:1900/1/1 0:00:00

2022年4月17日,算法穩定幣項目Beanstalk DAO遭受黑客攻擊,損失已達1.82億美元,包括7900多萬BEAN3CRV-f、163萬BEANLUSD-f、3600萬BEAN和0.54個UNI-V2_WETH_BEAN。啟動入侵的初始資金已被撤回至Synapse Protocol,且大部分收益都被存入Tornado.cash。目前,該項目穩定幣BEAN價格已經從約1美元跌至0.136美元,跌幅達86%。

BeanStalk是一個分散的基于信用的穩定幣協議。該協議由三個相互連接的組件組成:去中心化價格預言機、去中心化治理系統和去中心化信貸工具。根據該項目的白皮書介紹,BeanStalk使用動態掛鉤維護機制,定期將1Bean(Beanstalk ERC-20標準穩定幣)的價格超過其價值掛鉤,而無需集中化或抵押要求。

報告:DeFi領域中約50%的黑客攻擊與跨鏈橋相關:金色財經報道,根據Token Terminal的一份報告,DeFi領域中大約50%的攻擊發生在跨鏈橋上。在過去兩年的時間里,黑客利用跨鏈橋上的漏洞盜取超25億美元。與其他安全漏洞相比,這個數額是巨大的,比如在此期間的DeFi借貸黑客攻擊(7.18億美元)和去中心化交易所的漏洞(3.62億美元)。

Immunefi首席執行官和安全專家Mitchell Amador解釋說,DeFi領域的一些開發者缺乏必要的知識來保護這種復雜的機制。Amador稱:“許多開發者通過簡單地復制和粘貼其他項目的代碼來啟動項目。當其中一個項目有漏洞時,其他項目通常也有這個漏洞。開源智能合約,由于所有人都可以看到和訪問,很容易吸引黑客研究它們,發現它們的漏洞,并利用它們。”(Cointelegraph)[2022/10/20 16:31:25]

此次攻擊事件距離Axie Infinity 遭到黑客攻擊損失6.25億美元還不到一個月時間,Beanstalk受到了巨大的損失。這次的黑客攻擊或源于前一天通過的BIP18,BIP18導致使用治理特權來抽干資金池的精心設計的代碼來執行,黑客利用了Beanstalk的“投票合約中的票數是根據賬戶中的代幣持有量來得到的”這一閃電貸漏洞完成了這次的攻擊,并將獲利的部分USDC轉入了烏克蘭加密捐贈地址。

派盾:去中心化借貸項目Qubit疑似遭到黑客攻擊,損失或達8000萬美元:1月28日消息,據派盾(PeckShield)官方消息,BSC 生態去中心化借貸項目 QBridge 旗下借貸產品 Qubit 疑似遭到黑客攻擊,黑客鑄造大量 xETH 抵押品并消耗約了資金池中 8000 萬美元資產。[2022/1/28 9:18:40]

下面Armors Company Limited來具體分析一下黑客的攻擊過程。

黑客從攻擊的前一天發起了交易提案,提案通過以后將會從Beanstalk: Beanstalk Protocol合約中提取資金。首先黑客通過閃電貸換取了3.5億個DAI、5億個USDC、1.5億個USDT、3200萬個BEAN和1100萬個LUSD作為資金儲備。再將這些資金在Curve.fi 對應交易對的交易池中添加為3Crv流動性代幣,總量達到9.8億個。接著用1500萬個3Crv兌換成LUSD。又將3Crv代幣兌換為BEAN3CRV-f用于投票,把3200萬個BEAN和近2700萬個LUSD添加流動性,這樣就成功得到5900萬個BEANLUSD-f流動性代幣。

CertiK:Balancer遭黑客攻擊損失約90萬人民幣,其他DeFi合約需警惕:6月29日北京時間凌晨2點03分,CertiK天網系統檢查到在區塊10355807處Balancer DeFi合約異常。此次攻擊約獲利90萬人民幣。

安全研究員迅速介入調查,攻擊重現如下:

階段0:攻擊者從dYdX閃電貸處借款,獲得初始WETH資金。

階段1:攻擊者使用WETH將Balancer中的STA盡可能買空,最大程度提高STA價格。

階段2:攻擊者用獲得的STA多次買回WETH。每一次都用最小量的STA(數值為1e-18)進行購買,并利用Balancer內部漏洞函數gulp(),鎖定STA的數目,控制STA對WETH的價格。重復多次該種買回操作,直到將Balancer中的WETH取空。

階段3:換一種代幣,用STA重復階段2直到取空該種代幣。階段三重復了三次,一共有4種代幣受到了損失WETH,WBTC, LINK和SNX。

階段4:償還dYdX閃電貸,離場。

CertiK判斷攻擊者是有經驗的黑客團隊在充分準備后的一次攻擊嘗試,有很大可能還會繼續攻擊其他DeFi合約。[2020/6/30]

接著,黑客用BEAN3CRV-f和BEANLUSD-f來對提案發起投票,然后調用emergencyCommit進行緊急提交來執行提案,從而導致提案通過。經過以上一系列的操作,3600萬個BEAN、8.75億個BEAN3CRV-f、6000萬個BEANLUSD-f以及0.54個UNI-V2,通過Beanstalk: Beanstalk Protocol合約轉入了攻擊合約。最后黑客將流動性移除并歸還閃電貸,把多余的代幣兌換為近2.5萬個ETH持續轉移至Tornado.Cash。

Tether或與Bitstamp受同一黑客攻擊:在Tether價值3100萬美元的代幣被盜幾個小時之后,名為“SpeedflyChris”的用戶在Reddit上發帖指出:攻擊Tether的黑客或與Bitstamp攻擊者為同一人。[2017/11/22]

交易詳細信息如圖所示:

ETH被分批發送到 Tornado.Cash :

Armors安全在此提醒:

首先,還是要對項目代碼的安全審計提高重視,建議找行業內正規的安全公司進行全方位的代碼審計,并定期檢查更新,可使用實時的安全監測服務,避免出現安全風險。其次,項目方應避免使用賬戶的當前資金余額來統計投票數量,投票所用資金應在合約中設定鎖定時間,避免出現可能的反復投票或使用閃電貸進行投票。對于惡意提案,項目方和社區應提高關注度及警惕性,可考慮禁止合約地址參與投票,并設立預警機制,對于惡意提案,需及時作出預警和處理,禁止惡意提案的投票通過和執行。

Armors安全機構成立于2017年,是行業最早成立的專業區塊鏈安全機構之一。Armors是Polygon、BSC、Ethereum、Solana等公鏈審計合作伙伴,已為超過2000家區塊鏈平臺、交易所、錢包、DApp等機構和項目提供安全審計、滲透測試、跨鏈遷移、平臺安全等各方面保障及服務。成立以來,Armors已為客戶挽回超過32000個BTC的資產損失。

Tags:BEASTAETHTALKThe Beaconstarl幣有可能漲1000倍嗎reth幣總量BNBeanstalk

FTX
區塊鏈:鏈上過半活動來自鏈游 8萬億美元是元宇宙的起點

盡管從微觀和宏觀經濟的角度來看,當下的局勢充滿挑戰,但區塊鏈游戲活動卻穩定了下來。最近對 Ronin Bridge 的 5 億次黑客攻擊,提醒我們互操作性需要權衡取舍.

1900/1/1 0:00:00
區塊鏈:金色觀察|一文讀懂ERC721R以及相關標準項目

4月11日,ERC721R代幣標準正式發布。該標準在NFT智能合約中增加了去信任的退款設計,允許鑄造者在給定的期限內退還按成本鑄造的NFT,并獲得相應退款.

1900/1/1 0:00:00
元宇宙:一周必讀10篇 | Web3 的不可或缺

1.Web3 的不可或缺根據我們的一系列實踐,深深地感到了 Vibe 是比 Token 等金融化手段,以及一切 DAO 協作工具更加重要的東西.

1900/1/1 0:00:00
元宇宙:在元宇宙追光的女科學家

黃玲玲在激光測量室做實驗。本報記者 肖婕妤春日午后,晴空萬里。北京理工大學校園里,粉色海棠正開得燦爛。穿過中心花園,在教學樓,記者見到了追光的科學家——黃玲玲.

1900/1/1 0:00:00
NFT:唱片流媒體音樂利潤凸顯 NFT將如何為內容創作者賦能

根據國際唱片業協會(IFPI)的《全球音樂報告》(Global music Report),音樂行業的收入在2021年達到創紀錄的259億美元,比2020年增長18.5%.

1900/1/1 0:00:00
元宇宙:新京報:“嘗鮮”元宇宙 這個行業已最先站上了風口

“正在建立時空同步……”在虛擬綜藝《2060》中,觀眾跟隨鏡頭瞬間穿越“時空隧道”抵達虛擬空間“星環城”。在這里,數字虛擬人紛紛登上舞臺,成為競演的主角.

1900/1/1 0:00:00
ads