2022年4月17日,算法穩定幣項目Beanstalk DAO遭受黑客攻擊,損失已達1.82億美元,包括7900多萬BEAN3CRV-f、163萬BEANLUSD-f、3600萬BEAN和0.54個UNI-V2_WETH_BEAN。啟動入侵的初始資金已被撤回至Synapse Protocol,且大部分收益都被存入Tornado.cash。目前,該項目穩定幣BEAN價格已經從約1美元跌至0.136美元,跌幅達86%。
BeanStalk是一個分散的基于信用的穩定幣協議。該協議由三個相互連接的組件組成:去中心化價格預言機、去中心化治理系統和去中心化信貸工具。根據該項目的白皮書介紹,BeanStalk使用動態掛鉤維護機制,定期將1Bean(Beanstalk ERC-20標準穩定幣)的價格超過其價值掛鉤,而無需集中化或抵押要求。
去中心化存儲協議Swarm被黑客攻擊:5月20日消息,據Extend Labs團隊報告,其團隊通過其bzzscan.com瀏覽器數據監控發現Swarm項目存在大量gBZZ被超發出的情況并提交Swarm官方。經調查,此次攻擊導致了單個支票超發2000多個gBZZ。
經查證,該消息目前已經得到swarm官方團隊回應:確認該次為黑客攻擊行為,導致了大量gBZZ超發,但是最終的蜂后節點只從可信任的節點中產生,顯然這些作惡節點是不會被選擇為蜂后節點的,它只會拖累goerli網絡。[2021/5/20 22:26:49]
此次攻擊事件距離Axie Infinity 遭到黑客攻擊損失6.25億美元還不到一個月時間,Beanstalk受到了巨大的損失。這次的黑客攻擊或源于前一天通過的BIP18,BIP18導致使用治理特權來抽干資金池的精心設計的代碼來執行,黑客利用了Beanstalk的“投票合約中的票數是根據賬戶中的代幣持有量來得到的”這一閃電貸漏洞完成了這次的攻擊,并將獲利的部分USDC轉入了烏克蘭加密捐贈地址。
數據:DeFi平臺2020年共遭15次黑客攻擊 總金額達1.2億美元:The Block Research數據顯示,2020年DeFi平臺總共發生了15次黑客攻擊,總金額達1.2億美元。黑客獲得的賞金從13.5萬美元到2500萬美元不等,但只收回了4560萬美元。其中一種協議bZx在2月份被利用了兩次,原因是一個合同漏洞讓黑客執行了一閃電貸攻擊,共捕獲了大約1200枚ETH。[2021/1/2 16:14:17]
下面Armors Company Limited來具體分析一下黑客的攻擊過程。
黑客從攻擊的前一天發起了交易提案,提案通過以后將會從Beanstalk: Beanstalk Protocol合約中提取資金。首先黑客通過閃電貸換取了3.5億個DAI、5億個USDC、1.5億個USDT、3200萬個BEAN和1100萬個LUSD作為資金儲備。再將這些資金在Curve.fi 對應交易對的交易池中添加為3Crv流動性代幣,總量達到9.8億個。接著用1500萬個3Crv兌換成LUSD。又將3Crv代幣兌換為BEAN3CRV-f用于投票,把3200萬個BEAN和近2700萬個LUSD添加流動性,這樣就成功得到5900萬個BEANLUSD-f流動性代幣。
阿根廷基于區塊鏈的官方公報網站遭黑客攻擊:阿根廷政府于3月14日確認,其基于區塊鏈技術的官方公報(Boletin Official)網站遭到了黑客攻擊。El Cronista援引官員稱,盡管黑客企圖進入該網站系統但未能如愿,但還是發現了一個漏洞來傳播假新聞,其中提到了一些在新冠狀病緊急情況下為公務員制定的指導方針。由于出現的安全漏洞和隨之而來的高流量,該網站關閉了數個小時。(Cointelegraph)[2020/3/17]
接著,黑客用BEAN3CRV-f和BEANLUSD-f來對提案發起投票,然后調用emergencyCommit進行緊急提交來執行提案,從而導致提案通過。經過以上一系列的操作,3600萬個BEAN、8.75億個BEAN3CRV-f、6000萬個BEANLUSD-f以及0.54個UNI-V2,通過Beanstalk: Beanstalk Protocol合約轉入了攻擊合約。最后黑客將流動性移除并歸還閃電貸,把多余的代幣兌換為近2.5萬個ETH持續轉移至Tornado.Cash。
韓國4交易所年內分別遭黑客攻擊 共損失1.58億美元 丟失信息36487條:金色財經獨家報道,2017年韓國虛擬貨幣交易所首次受到黑客攻擊的是Youbit,當時損失的金額為1,000億韓元;韓國交易所第二次受到黑客攻擊的是Bithumb,其當時黑客盜取了31,506名用戶信息與4,981個賬戶信息;第三次受到黑客攻擊的是前不久的Coinrail,其損失金額為400億韓元;最近一次是6月20日,受到黑客攻擊的交易所是Birhum,其已經第二次被攻擊,損失金額為350億韓元。2017年至今韓國虛擬貨幣交易所損失金額為1,750億韓元,約合1.58億美元,丟失用戶、賬戶信息總量為36,487條。[2018/6/22]
交易詳細信息如圖所示:
ETH被分批發送到 Tornado.Cash :
Armors安全在此提醒:
首先,還是要對項目代碼的安全審計提高重視,建議找行業內正規的安全公司進行全方位的代碼審計,并定期檢查更新,可使用實時的安全監測服務,避免出現安全風險。其次,項目方應避免使用賬戶的當前資金余額來統計投票數量,投票所用資金應在合約中設定鎖定時間,避免出現可能的反復投票或使用閃電貸進行投票。對于惡意提案,項目方和社區應提高關注度及警惕性,可考慮禁止合約地址參與投票,并設立預警機制,對于惡意提案,需及時作出預警和處理,禁止惡意提案的投票通過和執行。
Armors安全機構成立于2017年,是行業最早成立的專業區塊鏈安全機構之一。Armors是Polygon、BSC、Ethereum、Solana等公鏈審計合作伙伴,已為超過2000家區塊鏈平臺、交易所、錢包、DApp等機構和項目提供安全審計、滲透測試、跨鏈遷移、平臺安全等各方面保障及服務。成立以來,Armors已為客戶挽回超過32000個BTC的資產損失。
Tags:BEASTAANSTALGummy BeansSTARLGuild of GuardiansFermat Capital Management
科幻小說作家阿西莫夫的兩條規則:一個人不得傷害另一個人,或因不作為而允許另一個人受到傷害。人類應避免可能導致其自身受到傷害的行為或情況。在我看來,加密貨幣監管根本不可行.
1900/1/1 0:00:00以太坊和其他公鏈,都在嘗試利用多鏈結構擴容,例如以太坊2.0可能實現的同構分片、波卡正在實施的異構分片、COSMOS的跨鏈結構.
1900/1/1 0:00:002022清華五道口全球金融論壇16日開幕。本次論壇以“行穩致遠,金融助力高質量發展”為主題,具體將圍繞“雙碳”目標下的綠色金融發展、基礎設施建設與REITs探索實踐、全球經濟治理與金融合作開放、.
1900/1/1 0:00:00“CZ可能不會來現場了,聽說他感染了新冠。”OOKC labs合伙人Max略帶遺憾地說。OOKC labs是一家區塊鏈/數字轉型方案服務商,總部位于迪拜.
1900/1/1 0:00:00北京市天元律師事務所新經濟團隊聯合World Leading Scientists Institute(WLSI)、中國中小企業協會高新技術產業分會、PNG研究組的Kris、硅谷web3.
1900/1/1 0:00:00零知識證明提供了一種方法,在不透露一組信息或數據的具體細節內容的情況下,以加密方式證明對這組特定信息或數據的了解。我們可以從硬件需求的角度來觀察技術的進步.
1900/1/1 0:00:00