北京時間2022年5月16日凌晨4:22:49,CertiK安全技術團隊監測到FEG在以太坊和BNB鏈上遭受大規模閃電貸攻擊,導致了價值約130萬美元的資產損失。
此攻擊是由“swapToSwap()”函數中的一個漏洞造成的,該函數在未對傳入參數進行篩查驗證的情況下,直接將用戶輸入的"path"作為受信任方,允許未經驗證的"path"參數來使用當前合約的資產。
因此,通過反復調用"depositInternal()"和"swapToSwap()",攻擊者可獲得無限制使用當前合約資產的許可,從而盜取合約內的所有資產。
瑞銀首席經濟學家:加密貨幣可能永遠無法用作實際貨幣:根據瑞銀全球財富管理公司的說法,加密貨幣可能永遠無法用作實際貨幣。瑞銀集團(UBS GWM)首席經濟學家Paul Donovan在本周的視頻中表示,加密貨幣固有的“根本性缺陷”是,在大多數情況下需求下降時無法減少供應。他說,這意味著它們不能被視為貨幣。Donovan稱,“適當的貨幣”可以是穩定的價值存儲。這種信心來自中央銀行在需求下降時減少供應的能力。沒有這樣的機制來關閉大多數加密貨幣的供應,因此它們的價值會下滑-導致消費能力下降。(彭博社)[2021/1/22 16:46:16]
受影響的合約地址之一:https://bscscan.com/address/0x818e2013dd7d9bf4547aaabf6b617c1262578bc7
漏洞交易
公告 | 加密貨幣交易所UEX宣布暫停運營:加密貨幣交易所UEX日前宣布暫停運營。UEX用戶需要在5月10日前完成提幣,逾期未提幣的用戶將被收取一定管理費。[2019/4/30]
漏洞地址:https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c
漏洞交易樣本:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063
被盜資金追蹤:https://debank.com/profile/0x73b359d5da488eb2e97990619976f2f004e9ff7c/history
動態 | 印度銀行HDFC要求客戶簽訂加密貨幣監管同意書:據ambcrypto報道,印度銀行HDFC迫使他們的客戶簽訂加密貨幣監管同意書,并稱如果客戶繼續進行加密交易,銀行將關閉他們的帳戶。據悉,HDFC是印度第四大私營銀行,最大的放貸銀行。[2019/1/23]
相關地址
攻擊者地址:https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c
攻擊者合約:https://bscscan.com/address/0x9a843bb125a3c03f496cb44653741f2cef82f445
FEG代幣地址:https://bscscan.com/token/0xacfc95585d80ab62f67a14c566c1b7a49fe91167
彭博社:索羅斯2017年已經間接投資加密貨幣:4月6日有報道稱,索羅斯規模為260億美元的家族辦公室正計劃交易數字資產。據彭博消息,索羅斯在2017年已經間接投資加密貨幣,他在17年第四季度收購了Overstock.com的股份,成為該折扣電子商務公司的第三大股東。今年1月份,喬治索羅斯稱加密貨幣為泡沫。Overstock.com公司2017年8月,成為第一家接受加密貨幣的大型零售商。該公司還計劃開始數字貨幣兌換服務以及提供可以在該平臺上交易的加密貨幣。3月,Overstock.com透露,證券交易委員會正在調查其提出的ICO。披露后,股價下跌約40%。[2018/4/9]
FEGWrappedBNB(fBNB):https://bscscan.com/address/0x87b1acce6a1958e522233a737313c086551a5c76#code
蘇格蘭威士忌入局加密貨幣領域 成立基于加密貨幣的威士忌投資基金CaskCoin:蘇格蘭釀酒公司老板里奇克里斯蒂建立了基于加密貨幣的威士忌投資基金CaskCoin,CaskCoin的目標是在本月提供的最初投資中,籌集約4000萬英鎊,每個幣都能轉化為投資中每一個cask的實際所有權。[2018/3/6]
攻擊步驟
以下攻擊流程基于該漏洞交易:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063
①攻擊者借貸915WBNB,并將其中116BNB存入fBNB。
②攻擊者創建了10個地址,以便在后續攻擊中使用。
③攻擊者通過調用"depositInternal()"將fBNB存入合約FEGexPRO。
根據當前地址的余額,"_balances2"被增加。
④攻擊者調用了"swapToSwap()",路徑參數是之前創建的合約地址。
該函數允許"path"獲取FEGexPRO合約的114fBNB。
⑤攻擊者反復調用"depositInternal()"和"swapToSwap()",允許多個地址獲取fBNB代幣,原因如下:
每次"depositInternal()"被調用,_balance2將增加約114fBNB。
每次"swapToSwap()"被調用,攻擊者所創建合約能獲取該114fBNB的使用權限。
⑥由于攻擊者控制了10個地址,每個地址均可從當前地址花費114個fBNB,因此攻擊者能夠盜取被攻擊合約內的所有fBNB。
⑦攻擊者重復步驟④⑤⑥,在合約內耗盡FEG代幣。
⑧最后攻擊者出售了所有耗盡的資產,并償還閃電貸款,最終獲取了其余利潤。
資產去向
截至2022年5月16日6:43,被盜資金仍存儲在以太坊和BSC鏈上的攻擊者錢包中。
原始資金來自以太坊和BSC的Tornadocash:https://etherscan.io/tx/0x0ff1b86c9e8618a088f8818db7d09830eaec42b82974986c855b207d1771fdbe
https://bscscan.com/tx/0x5bbf7793f30d568c40aa86802d63154f837e781d0b0965386ed9ac69a16eb6ab
攻擊者攻擊了13個FEGexPRO合約,以下為概覽:
寫在最后
本次攻擊事件本可通過安全審計來有效地避免。
CertiK安全專家認為審計過程中可以檢查出該風險——不受信任的"path"參數被傳遞到協議中,并獲取合約資產支出的權限。審計專家會將該風險歸類于主要風險級別,此外,如果進行更深層次的挖掘,還可列明被利用的多種可能。
Tags:QUO加密貨幣COMBNBQuontral數字人民幣是加密貨幣嗎Ecom Chaintogetherbnb下載電腦
作者:OPResearch嘗試改變現狀是人類的天性,當這一動力與科技、資本、信息、數據結合時,人類社會將不可避免地發生變化,不可避免地朝新興社會形態、生產關系發展.
1900/1/1 0:00:006月1日,據區塊鏈瀏覽器TRONSCAN數據,波場鏈上資產總價值為55,280,665,722美元,突破550億美元.
1900/1/1 0:00:00如果說公鏈是加密圈內永恒的敘事,那么孫宇晨就是開啟幣圈精彩章回的鑰匙。七月下旬至今,短短一個月,孫宇晨除了參與直播,還現身元宇宙話題峰會,發消息意欲收購騰訊幻核平臺,準備購入特斯拉拋售的比特幣,
1900/1/1 0:00:00HTCDesire22Pro預裝了Vivere應用程序,幫助用戶體驗元宇宙,并管理Crypto和NFT.
1900/1/1 0:00:00NFT借貸平臺BendDAO這幾天接連登上了新聞頭條。該平臺所提供的借貸服務并不是什么新鮮事,只是市場突然關注起它們即將耗盡的流動資金.
1900/1/1 0:00:00EthereumVirtualMachine的縮寫,中文直譯全稱為以太坊虛擬機。對于沒有接觸過軟件開發的用戶來說,EVM看似晦澀難懂。但是如果我們先類比什么是Java虛擬機,或許會更好理解.
1900/1/1 0:00:00