2022年4月17日,算法穩定幣項目BeanstalkDAO遭受黑客攻擊,損失已達1.82億美元,包括7900多萬BEAN3CRV-f、163萬BEANLUSD-f、3600萬BEAN和0.54個UNI-V2_WETH_BEAN。啟動入侵的初始資金已被撤回至SynapseProtocol,且大部分收益都被存入Tornado.cash。目前,該項目穩定幣BEAN價格已經從約1美元跌至0.136美元,跌幅達86%。
BeanStalk是一個分散的基于信用的穩定幣協議。該協議由三個相互連接的組件組成:去中心化價格預言機、去中心化治理系統和去中心化信貸工具。根據該項目的白皮書介紹,BeanStalk使用動態掛鉤維護機制,定期將1Bean的價格超過其價值掛鉤,而無需集中化或抵押要求。
CoinsPaid:黑客攻擊為Lazarus Group策劃,客戶資金完好無損:金色財經報道,CoinsPaid發布聲明稱,7月22日CoinsPaid遭遇黑客攻擊,導致3730萬美元被盜。我們懷疑最強大的黑客組織之一Lazarus Group應對此負責。其受害者名單還包括世界頂級公司:索尼(8100萬美元)、Axie Infinity(6.25億美元)、Horizo??n Bridge(1億美元)、Atomic Wallet(1億美元)和Alphapo(2300萬美元)。該團隊表示,作為第一要務,已確保客戶資金完好無損。不幸的是,這次攻擊影響了平臺的可用性,公司的收入也受到了影響。
CoinsPaid首席執行官Max Krupyshev強調:“部分停機后,我們的服務正在新的安全環境中一項一項啟動并運行。我們預計還需要幾天時間來整理次要細節并確保系統順利運行” 。幾周內,CoinsPaid將組織一次圓桌會議,與所有Lazarus受害者宣布一項新舉措,旨在最大限度地減少和防止未來此類攻擊。[2023/7/27 16:01:14]
此次攻擊事件距離AxieInfinity遭到黑客攻擊損失6.25億美元還不到一個月時間,Beanstalk受到了巨大的損失。這次的黑客攻擊或源于前一天通過的BIP18,BIP18導致使用治理特權來抽干資金池的精心設計的代碼來執行,黑客利用了Beanstalk的“投票合約中的票數是根據賬戶中的代幣持有量來得到的”這一閃電貸漏洞完成了這次的攻擊,并將獲利的部分USDC轉入了烏克蘭加密捐贈地址。
FBI參與調查Harmony跨鏈橋黑客攻擊事件:金色財經報道,由Layer1公鏈Harmony開發的以太坊與Harmony鏈間資產跨鏈橋Horizon遭到攻擊后,Harmony在其官方社交媒體賬戶上披露,美國聯邦調查局(FBI)和多家網絡安全公司將參與調查本次事件。Horizon 跨鏈橋允許用戶在以太坊、幣安智能鏈 (BSC) 和 Harmony 區塊鏈之間交換代幣、穩定幣和 NFT 等資產。Harmony 在另一條推文中表示,該漏洞并未影響其比特幣跨鏈橋,并且存儲在分散式保險庫中的資金和資產“目前是安全的”。[2022/6/25 1:30:21]
下面ArmorsCompanyLimited來具體分析一下黑客的攻擊過程。
動態 | 高級APT攻擊頻現 多家數字貨幣交易所成為黑客攻擊目標:據降維安全實驗室(johnwick.io)報道,近日高級黑客團隊甚至國家級黑客組織再度活躍,多家數字貨幣交易所遭到針對性的APT攻擊,具體資產損失尚在統計中。據悉,自年初起至今已有數家交易所遭到高級APT攻擊造成巨額資產損失,主要原因在于對外服務人員的安全意識缺失。降維安全專家表示針對APT攻擊可采取以下防御措施:1、做好內網網段隔離。2、對外服務人員進行內外網物理機隔離。3、使用成熟有效的陷阱類安全防御產品,e.g.面壁人陷阱防御系統。4、可采用有針對性的滲透測試,對交易所網站和客服進行安全檢查。[2019/8/30]
黑客從攻擊的前一天發起了交易提案,提案通過以后將會從Beanstalk:BeanstalkProtocol合約中提取資金。首先黑客通過閃電貸換取了3.5億個DAI、5億個USDC、1.5億個USDT、3200萬個BEAN和1100萬個LUSD作為資金儲備。再將這些資金在Curve.fi對應交易對的交易池中添加為3Crv流動性代幣,總量達到9.8億個。接著用1500萬個3Crv兌換成LUSD。又將3Crv代幣兌換為BEAN3CRV-f用于投票,把3200萬個BEAN和近2700萬個LUSD添加流動性,這樣就成功得到5900萬個BEANLUSD-f流動性代幣。
動態 | EOS競猜游戲playgames遭黑客攻擊:今天18:17起,PeckShield安全盾風控平臺DAppShield監測到黑客向EOS競猜類游戲playgames發起連續攻擊并已經獲益。PeckShield安全人員初步分析發現,這又是一起典型的交易阻塞攻擊 (CVE-2019-6199),與之前攻擊EOS.Win、FarmEOS、影骰、LuckBet、GameBet、EOSDice、STACK DICE等多款游戲的手法一致。PeckShield提醒,今晨EOS主網補丁還不能完全確保DApp免疫該漏洞,還需開發者進一步就隨機數生成問題進行處理,并引入類似DAppShield安全盾這樣的風控機制,減少或避免因阻塞攻擊造成資產損失。[2019/1/16]
接著,黑客用BEAN3CRV-f和BEANLUSD-f來對提案發起投票,然后調用emergencyCommit進行緊急提交來執行提案,從而導致提案通過。經過以上一系列的操作,3600萬個BEAN、8.75億個BEAN3CRV-f、6000萬個BEANLUSD-f以及0.54個UNI-V2,通過Beanstalk:BeanstalkProtocol合約轉入了攻擊合約。最后黑客將流動性移除并歸還閃電貸,把多余的代幣兌換為近2.5萬個ETH持續轉移至Tornado.Cash。
交易詳細信息如圖所示:
ETH被分批發送到Tornado.Cash:
Armors安全在此提醒:
首先,還是要對項目代碼的安全審計提高重視,建議找行業內正規的安全公司進行全方位的代碼審計,并定期檢查更新,可使用實時的安全監測服務,避免出現安全風險。其次,項目方應避免使用賬戶的當前資金余額來統計投票數量,投票所用資金應在合約中設定鎖定時間,避免出現可能的反復投票或使用閃電貸進行投票。對于惡意提案,項目方和社區應提高關注度及警惕性,可考慮禁止合約地址參與投票,并設立預警機制,對于惡意提案,需及時作出預警和處理,禁止惡意提案的投票通過和執行。
Armors安全機構成立于2017年,是行業最早成立的專業區塊鏈安全機構之一。Armors是Polygon、BSC、Ethereum、Solana等公鏈審計合作伙伴,已為超過2000家區塊鏈平臺、交易所、錢包、DApp等機構和項目提供安全審計、滲透測試、跨鏈遷移、平臺安全等各方面保障及服務。成立以來,Armors已為客戶挽回超過32000個BTC的資產損失。
隨著數字人民幣試點落地天津,我市反詐民警提醒市民,警惕以“數字人民幣”為名的新型詐騙。“近期,在某些省市發現,騙子將矛頭指向了數字人民幣。”我市反詐民警拆解數字人民幣新騙術.
1900/1/1 0:00:00移動支付網消息:4月6日,京東數據顯示,自2020年12月接入數字人民幣試點截至目前,京東線上已綁定子錢包超350萬個,超200萬人進行了330萬筆數字人民幣交易,累計交易金額超2.2億.
1900/1/1 0:00:00Twitter的Crypto社區和NFT相關領域充滿了騙局,只需幾次互動,你就可以得到第一個“@Elonmusk_u開始跟蹤您”的通知.
1900/1/1 0:00:00在本文中,鏈捕手將對近期頭部加密風投機構押注的早期項目進行介紹,幫助讀者們進一步了解到未來的潛力項目.
1900/1/1 0:00:002022年4月15日-17日,以“行穩致遠,金融助力高質量發展”為主題2022清華五道口全球金融論壇在北京隆重召開.
1900/1/1 0:00:00本文不構成任何投資建議。個案的裁判結果亦不代表任何所謂的監管新動向。呼吁大家嚴格遵守《關于進一步防范和處置虛擬貨幣交易炒作風險的通知》等相關規定.
1900/1/1 0:00:00