加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

近一億美元天價損失 Harmony跨鏈橋黑客攻擊事件分析_ETH:ether幣價格

Author:

Time:1900/1/1 0:00:00

北京時間2022年6月23日19:06:46,CertiK審計團隊監測到Harmony鏈和以太坊之間的跨鏈橋經歷了多次惡意攻擊。

CertiK團隊安全專家分析,此次攻擊事件可能源于黑客掌握了owner的私鑰——攻擊者控制MultiSigWallet的所有者直接調用confirmTransaction從Harmony的跨鏈橋上轉移大量代幣,導致Harmony鏈上價值約9700萬美元的資產被盜。

攻擊步驟

我們以13100ETH的第一次利用漏洞交易為例:

①MultiSigWallet合約的所有者0xf845a7ee8477ad1fb446651e548901a2635a915調用submitTransaction函數提交具有以下有效負載的交易,以在交易中生成交易id21106。

太空資源和探索黑客松首輪資助名單公布,第二輪申請通道已開放:6月14日消息,由DoraHacks組織的太空資源和探索黑客松(Space Resource and Exploration Hackathon)首輪資助名單已在全球極客運動平臺DoraHacks.io公布。本輪將資助兩個月球資源利用領域的項目,分別為月球任務控制中心SpaceRadar和來自倫敦帝國理工學院的ETW system for the beneficiation process of ISRU (用于分離和運輸月球粒子的靜電行波系統)。第二輪申請通道已開放。第二輪項目提交截止時間為8月11 日。

DoraHacks將長期主辦太空資源和探索黑客松,支持太空探索道路上的創新開源技術團隊。[2023/6/14 21:35:51]

②要確認交易,調用方必須是合約所有者。

韓國稅務部門已對加密交易所Bithumb展開現場稅務調查:1月10日消息,韓國國稅廳已著手對虛擬資產交易所進行特別稅務調查,其中首爾地方國稅廳調查4局在位于首爾江南區的Bithumb總公司投入了數十名調查局職員,展開了現場稅務調查。[2023/1/10 11:03:30]

③在接下來的攻擊中,MultiSigWallet合約所有者的MultiSigWallet調用函數confirmTransaction,其中輸入的交易ID為21106。

④要成功執行交易,調用方必須是合約所有者。

⑤executeTransaction函數使用輸入數據調用了一個外部調用,該調用將觸發Ethmanager合約上的unlockEth函數。

⑥unlockEth()函數的傳入數據指定了金額、收件人和收款人。

數據:3475枚BTC從幣安轉移到Coinbene:金色財經報道,據WhaleAlert監測,3475枚BTC(58,179,837美元)從幣安轉移到Coinbene。[2023/1/4 9:50:24]

⑦由于攻擊者以某種方式控制了所有者的權限,因此攻擊者能夠執行id為21106的事務,該事務將13100ETH傳輸到攻擊者的地址0x0d043128146654C7683Fbf30ac98D7B2285DeD00。

⑧攻擊者在其他ERC20Manager合約上使用不同的交易ID重復了前面的過程,以傳輸大量ERC20令牌和StableCoin。

資產去向

截至撰稿時,約9700萬美元的被盜資產仍存儲于地址0x0d043128146654C7683Fbf30ac98D7B2285DeD00中。

Figure SPAC計劃與銀行合并推出區塊鏈解決方案:金色財經報道,Figure Acquisition Corp 1表示,它已經簽署了一份不具約束力的意向書,與一家銀行控股公司合并,Figure SPAC目前市值4.12 億美元,隸屬于區塊鏈初創公司Figure Technologies,SPAC打算在合并后推出區塊鏈解決方案。這家未具名的目標銀行是私人持有的,擁有 3 至 50 億美元的資產。[2022/12/10 21:35:11]

漏洞交易

以下交易攻擊者盜取13,100ETH,價值約14,619,600美元(使用ETH現有價格:$1116):https://etherscan.io/tx/0x27981c7289c372e601c9475e5b5466310be18ed10b59d1ac840145f6e7804c97??

安全團隊:Nirvana遭閃電貸攻擊,請相關用戶注意資產安全:7月28日消息,據慢霧區情報,Solana 鏈上穩定幣項目 Nirvana 遭遇閃電貸攻擊,攻擊者通過部署惡意合約,使用閃電貸從 Solend 借出 10,250,000 USDC,隨后調用 Nirvana 合約 buy3 方法購買了大量 ANA 代幣,隨后調用 Nirvana 合約 swap 方法賣出部分 ANA,得到USDT 和 USDC ,在歸還完閃電貸后共獲利3,490,563.69 USDT,21,902.48 USDC 及 393,230.32 ANA代幣,隨后黑客出售 ANA 代幣,并將所有臟款通過跨鏈橋轉移。Nirvana 源代碼未完全開源,據鏈上調用日志分析,攻擊者可能利用了 ANA 價格計算漏洞進行套利,請相關用戶注意資產安全。[2022/7/28 2:43:46]

以下交易攻擊者盜取41,200,000USDC:

https://etherscan.io/tx/0x6e5251068aa99613366fd707f3ed99ce1cb7ffdea05b94568e6af4f460cecd65

以下交易攻擊者盜取592WBTC,價值約12,414,832美元:

https://etherscan.io/tx/0x4b17ab45ce183acb08dc2ac745b2224407b65446f7ebb55c114d4bae34539586

以下交易攻擊者盜取9,981,000USDT:

https://etherscan.io/tx/0x6487952d46b5265f56ec914fcff1a3d45d76f77e2407f840bdf264a5a7459100

以下交易攻擊者盜取6,070,000?DAI:

https://etherscan.io/tx/0xb51368d8c2b857c5f7de44c57ff32077881df9ecb60f0450ee1226e1a7b8a0dd

以下交易攻擊者盜取5,530,000BUSD:

https://etherscan.io/tx/0x44256bb81181bcaf7b5662614c7ee5f6c30d14e1c8239f006f84864a9cda9f77?

以下交易攻擊者盜取84,620,000AAG,價值約856,552美元:

https://etherscan.io/tx/0x8ecac8544898d2b2d0941b8e39458bf4c8ccda1b668db8f18e947dfc433d6908

以下交易攻擊者盜取110,000FXS,價值約573,100美元:

https://etherscan.io/tx/0x4a59c3e5c48ae796fe4482681c3da00c15b816d1af9d74210cca5e6ea9ced191

以下交易攻擊者盜取415,000SUSHI,價值約518,750美元:?

https://etherscan.io/tx/0x75eeae4776e453d2b43ce130007820d70898bcd4bd6f2216643bc90847a41f9c

以下交易攻擊者盜取990AAVE,價值約67,672美元:

https://etherscan.io/tx/0xc1c554988aab1ea3bc74f8b87fb2c256ffd9e3bcadaade60cf23ab258c53e6f1

以下交易攻擊者盜取43WETH,價值約49,178美元:

https://etherscan.io/tx/0x698b6a4da3defaed0b7936e0e90d7bc94df6529f5ec8f4cd47d48f7f73729915

以下交易攻擊者盜取5,620,000FRAX,價值約5,608,096美元:

https://etherscan.io/tx/0x4ffe23abc37fcdb32e65af09117b9e44ecae82979d8df93884a5d3b5f698983e?

寫在最后

在CertiK編撰的《2022年第一季度Web3.0安全現狀報告》中,顯示了2022年第一季度Web3.0天價攻擊損失的罪魁禍首正是中心化風險,其中尤以跨鏈橋最易受攻擊。

本次攻擊事件本可通過審計發現「中心化風險」這一風險因素。除了審計之外,CertiK安全團隊建議新增的代碼也需要在上線前及時進行相應測試。

來源:金色財經

Tags:ETHTHESCANETHEethylbenzeneether幣價格YFSCANtogetherbnb中文版下載

以太坊價格今日行情
教你在NFT熊市怎么賺錢_NFT:WEB

最近很焦慮!有?種賺錢的預感來了!?情持續在震蕩,震的我?分焦慮,幣圈的每個6?份是特殊的,因為?般這個時間都會出來?個引爆?情的賽道和項?.

1900/1/1 0:00:00
國美涉足元宇宙:定為最重要戰略 已招攬人才成立項目組_元宇宙:PIXLS價格

近日,界面新聞記者獨家獲悉,國美已將元宇宙定為最重要的戰略方向,元宇宙項目總負責人已于6月入職,正積極招攬人才。一位知情人士對界面新聞記者表示,該元宇宙項目或將于7月初部分上線.

1900/1/1 0:00:00
6.23行情多空博弈 哪方更勝一籌?_ETH:ABS

幣圈咨詢 6月23日熱點; 1.鮑威爾:穩定幣UST暫時還沒有它需要的監管方案2.美聯儲主席鮑威爾聽證會要點一覽3.鮑威爾:國會需要澄清誰對加密貨幣和穩定幣擁有監管權力4.

1900/1/1 0:00:00
WEB3 安全系列 || Mfer NFT被盜案件分析 如何防范Discord軟件釣魚攻擊_NFT:Concordium

Discord對玩NFT的玩家來說是一個必不可少的工具,但是區塊鏈的世界騙局叢生,Discord則是重災區,作為普通用戶擁有安全意識是非常有必要的,能有效防止資產被盜.

1900/1/1 0:00:00
重磅|Black codes生態令牌即將震撼上線 備受投資者矚目_BLACK:CODE

據官方消息:天王級項目Blackcodes將于近期上線生態令牌BCS,為用戶提供多元化的收益,敬請期待!BCS是基于Blackcodes推出生態代幣,作為平臺生態的交易媒介.

1900/1/1 0:00:00
Rollup 生態系統中的可組合性_ROL:Uniswap

Rollup中最常見的評論之一是,它們"破壞了可組合性"。這一直是大多數單體鏈多數派成員的主要爭論點。然而,"一鏈治百病"是不可能的。因此,一個多鏈的生態系統是唯一的出路.

1900/1/1 0:00:00
ads