比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > Bitcoin > Info

BNB:卷土重來?黑客獲利約130萬美元 FEGexPRO合約被攻擊事件分析

Author:

Time:1900/1/1 0:00:00

2022年5月16日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,Ethereum和BNBChain上FEGtoken項目的FEGexPRO合約遭受黑客攻擊,黑客獲利約3280?BNB?以及144ETH,價值約130萬美元。成都鏈安技術團隊對事件進行了分析,結果如下。

事件相關信息

本次攻擊事件包含多筆交易,部分交易信息如下所示:

攻擊交易?(部分)

0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063?(BNBChain)

美國法官批準了暫緩Voyager將其資產出售給Binance.US的計劃:金色財經報道,美國紐約南區地方法院地方法官Jennifer Rearden批準了美國司法部提出的暫緩 Voyager 將其資產出售給Binance.US的計劃,該申請此前已獲得一名破產法官的批準。此舉將暫停出售,直到上訴本身可以通過美國法院系統。

裁決書顯示,在考慮各方的書面陳述,以及就此事舉行的會議和口頭辯論后,特此批準政府的緊急動議。說明該裁決理由的意見將很快發布。[2023/3/28 13:30:01]

0x1e769a59a5a9dabec0cb7f21a3e346f55ae1972bb18ae5eeacdaa0bc3424abd2?(Ethereum)

攻擊者地址

0x73b359d5da488eb2e97990619976f2f004e9ff7c

幣安將上線TRU 1-20倍U本位永續合約:據官方公告,幣安宣布將于2023年3月7日20:00時上線TRU 1-20倍U本位永續合約。

另據行情顯示,TRU現報 0.1339 USDT, 24H漲幅為6.19%。[2023/3/6 12:44:26]

攻擊合約

0x9a843bb125a3c03f496cb44653741f2cef82f445

被攻擊合約

0x818e2013dd7d9bf4547aaabf6b617c1262578bc7?(BNBChain)

0xf2bda964ec2d2fcb1610c886ed4831bf58f64948(Ethereum)

攻擊流程

Ethereum和BNBChain上使用攻擊手法相同,以下分析基于BNBChain上攻擊:

俄羅斯封鎖加密貨幣交易所OKX的網站:金色財經報道,根據俄羅斯國家媒體監管機構和互聯網審查機構Roskomnadzor的記錄,俄羅斯已經封鎖了加密貨幣交易所OKX的網站。

根據Roskomnadzor的記錄,OKX的網站由于俄羅斯聯邦信息、信息技術和信息保護法第15.3條被封鎖。(The block)[2022/10/6 18:40:33]

1.攻擊者調用攻擊合約利用閃電貸從DVM合約(0xd534...0dd7)中借貸915.84WBNB,然后將116.81WBNB兌換成115.65fBNB為后續攻擊做準備。

2.攻擊者利用攻擊合約創建了10個合約,為后續攻擊做準備。

Meta向十所大學贈送VR設備作為教學工具,獲贈大學將舉辦虛擬課程:金色財經報道,Meta向十所大學贈送了數十臺VR Quest耳機作為教學工具,獲贈的大學將在今年舉辦虛擬課程,讓部分學生在虛擬校園中學習。例如馬里蘭大學將在生物學和天文學入門課程、南達科他州將在有機化學和解剖學課程中使用這些設備。

Meta發言人表示,教育是元宇宙的一個有意義的用例,元宇宙中的沉浸式學習將幫助世界各地的創作者獲得元宇宙的技能,并為學習者創造身臨其境的體驗。(福布斯)[2022/9/4 13:08:13]

3.攻擊者接下來將兌換得到的fBNB代幣抵押到FEGexPRO合約中。

ZigZag:將于zkSync 2.0發布后同步上線新版ZigZag DEX:8月1日消息,ZigZag表示,作為zkSync 1.0網絡上唯一DEX,將于zkSync 2.0發布后同步上線新版ZigZag DEX,陸續部署功能更全面的智能合約,包括同時下達多個限價單,保證金交易,永續合約,流動池質押等功能。[2022/8/1 2:51:38]

4.?然后攻擊者重復調用depositInternal和swapToSwap函數,讓FEGexPRO合約授權fBNB給之前創建好的其他攻擊合約。

5.?然后利用其他攻擊合約調用transferFrom函數將FEGexPRO合約中fBNB全部轉移到攻擊合約中。

6.接下來又在LP交易對合約(0x2aa7...6c14)中借貸31,217,683,882,286.007211154FEG代幣和423WBNB。

7.然后重復3、4、5步驟的攻擊手法,將FEGexPRO合約中大量FEG代幣盜取到攻擊合約中。

8.然后歸還閃電貸,將獲得的WBNB轉入攻擊合約中完成此筆攻擊。

9.此后,又利用相同的原理,執行了50余筆相同的攻擊,最獲利約144ETH和3280BNB。

漏洞分析

本次攻擊主要利用了FEGexPRO合約中swapToSwap函數中path地址可控且合約中未對path地址進行有效性校驗的漏洞。由于合約中depositInternal函數中更新用戶余額時依賴于合約中當前代幣余額,攻擊者通過傳入一個惡意的path地址,調用swapToSwap函數時合約中代幣余額并未發生變化,導致攻擊者可以反復重置攻擊合約在FEGexPRO合約中記錄的代幣數量,從而讓FEGexPRO合約將自身代幣反復授權給攻擊者所控制的多個惡意合約。

資金追蹤

截止發文時,被盜資金仍在攻擊者地址中并未轉移。

總結

針對本次事件,成都鏈安技術團隊建議:

項目開發時,應該注意與其他合約交互時可能存在的安全風險,盡量避免將關鍵參數設置為用戶可控。如果業務需求如此,則需要嚴格判斷用戶輸入的參數是否存在風險。此外建議項目上線前選擇專業的安全審計公司進行全面的安全審計,規避安全風險。

Tags:BNBFEGEGEEXPtogetherbnb按不了tfeg幣官網VEGEwexpoly幣怎么樣

Bitcoin
LIB:中國金融信息中心發布《金融元宇宙研究白皮書》

近日,中國金融信息中心召開《金融元宇宙研究白皮書》線上發布會。與會嘉賓描繪出“金融元宇宙”的未來樣貌。白皮書認為,元宇宙新經濟具有巨大的發展潛力,將引導一個國家或地區的金融發展創新方向.

1900/1/1 0:00:00
區塊鏈:區塊鏈技術將會給第三方風險管理帶來怎樣的變革?

科技管理第三方風險的優勢并沒有讓合規專業人士失去市場。當考慮公司第三方生態系統不斷增長的規模、復雜性和地理多樣性時,很容易看出原因.

1900/1/1 0:00:00
WEB:5分鐘看懂a16z《2022加密行業狀態報告》

大約在10年前,知名風投a16z闖入加密行業。時光飛逝,如今整個市場發生了翻天覆地的變化。2022年5月17日,a16z發布了首份加密行業趨勢年度概覽報告.

1900/1/1 0:00:00
PAR:金色觀察|盤點Paradigm近半年投資分布

加密貨幣市場從不缺少神話。2021年11月15日,加密貨幣投資公司??發布公告稱成立一個25億美元的加密風險基金,新基金將與該公司的旗艦基金一起投資于所有階段和地域的加密貨幣公司.

1900/1/1 0:00:00
BTC:金色觀察|再談公鏈基礎設施和應用多樣性

整個國際市場熊了,大部分在這一周期里募資、發幣的項目,都賺了豐厚的資產。這個時候是不是該專心好好做做項目了? 這個問題仍舊沒有答案.

1900/1/1 0:00:00
以太坊:金色觀察丨以太坊2.0智能合約TVL創歷史新高意味著什么?

金色財經?區塊鏈5月11日訊??2022年對于以太坊來說意義非凡,隨著全球DeFi項目和NFT的蓬勃發展,以太坊市值從此前1250億美元的高位一路高歌猛進.

1900/1/1 0:00:00
ads