UMB:UmbNetwork獎勵池攻擊事件分析

一、前言

北京時間2022年3月21日，知道創宇區塊鏈安全實驗室?監測到BSC鏈和以太坊上的UmbNetwork獎勵池遭到黑客攻擊，損失約70萬美元。實驗室第一時間對本次事件進行跟蹤并分析。

二、基礎信息

攻擊者地址：0x1751e3e1aaf1a3e7b973c889b7531f43fc59f7d0

CVT上線Bithumb交易量達16億 再創新高:據官方消息，CVT于12月9日正式上線Bithumb交易所，并在14:00（UTC+8）開放交易和充值通道，開盤最高漲幅近180%。24小時內，CVT在Bithumb的交易量已達16億，超過Bithumb里BTC的現貨交易量，CVT在韓國數字貨幣市場關注度位于前列。

今日，CVT全網綜合漲幅為20%，仍位于CoinMarketCap漲幅榜榜首。[2020/12/10 14:46:00]

攻擊合約：0x89767960b76b009416bc7ff4a4b79051eed0a9ee

分析 | Bithumb交易所或將面臨監管機構審查:據Btcmanager消息，本周包括0x（ZRX）、Ethos（BQX）、ICON（ICX）和Aeternity（AE）在內的許多加密貨幣在韓國的交易價格比全球市場價格高出300％至600％。“泡菜溢價”此前在韓國較為常見，在2018年第二季度加密市場遭遇歷史上第三次最嚴重的修正后幾個月，所謂的“泡菜溢價”已完全從韓國的加密貨幣交易市場和當地金融機構中消失。但韓國主要的加密貨幣交易所Bithumb在2018年6月遭到黑客攻擊后暫停存提款的舉措，使得用戶無法獲得資金，流動性缺乏導致韓國加密貨幣價格暴漲。但韓國其他交易平臺如UPbit，Korbit和Coinone的交易價格并未出現大幅波動。據分析師預計，Bithumb或將面臨監管機構審查。[2018/8/3]

StakingRewards合約:0xB3FB1D01B07A706736Ca175f827e4F56021b85dE

突發 | Bithumb稱黑客攻擊造成189億韓元的損失:日前受到黑客攻擊的Bithumb今日（6月28日）稱其損失金額統計結果是189億4600韓元。[2018/6/28]

以太坊交易哈希：0x33479bcfbc792aa0f8103ab0d7a3784788b5b0e1467c81ffbed1b7682660b4fa

BSC交易哈希：0x784b68dc7d06ee181f3127d5eb5331850b5e690cc63dd099cd7b8dc863204bf6

三、漏洞分析

此次事件，漏洞關鍵在于UmbNetwork獎勵池的StakingRewards合約中的?_balance?函數出現溢出漏洞，合約未校驗檢查?balance?的值，攻擊者通過?amount?發起下溢攻擊，抽空了池子中的代幣。

從合約代碼我們可以看出，合約未正確使用SafeMath安全庫且未作溢出檢查，導致此次攻擊發生。

四、攻擊流程

攻擊者從BSC鏈發起攻擊獲取156枚pancake-LP代幣:

攻擊者在以太坊上發起攻擊獲取8792枚UNI-V2代幣:

隨后攻擊者分別將代幣轉分別換成ETH、UMB和BNB，獲利約70萬美元。

五、分析

本次攻擊事件核心是由于合約未正確使用SafeMath庫并且未對合約進行溢出檢查導致合約出現溢出漏洞，而導致了此次事件的發生，建議項目方多加注意檢查合約是否正確使用各類安全庫。

近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：UMBBITBithumbITHUMBR價格RABBIT價格bithumb交易所中文名mith幣最新消息

狗狗幣