加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

CertiK首發:加密版無損「倒信用卡」獲利百萬美元 FEG閃電貸攻擊事件分析_BNB:HTT

Author:

Time:1900/1/1 0:00:00

北京時間2022年5月16日凌晨4:22:49,CertiK安全技術團隊監測到FEG在以太坊和BNB鏈上遭受大規模閃電貸攻擊,導致了價值約130萬美元的資產損失。

此攻擊是由“swapToSwap()”函數中的一個漏洞造成的,該函數在未對傳入參數進行篩查驗證的情況下,直接將用戶輸入的 "path "作為受信任方,允許未經驗證的 "path "參數(地址)來使用當前合約的資產。

因此,通過反復調用 "depositInternal() "和 "swapToSwap()",攻擊者可獲得無限制使用當前合約資產的許可,從而盜取合約內的所有資產。

受影響的合約地址之一:https://bscscan.com/address/0x818e2013dd7d9bf4547aaabf6b617c1262578bc7

CertiK:EFVault的代理合約ENF ETHLEV經歷了一次閃電貸攻擊:金色財經報道,據CertiK官方推特發布消息稱,EFVault的代理合約ENF_ETHLEV經歷了一次閃電貸攻擊。據悉,攻擊者進行了多筆利用攻擊,獲利528,000美元。[2023/8/9 21:34:23]

漏洞交易

漏洞地址: https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c?

漏洞交易樣本:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063

被盜資金追蹤:https://debank.com/profile/0x73b359d5da488eb2e97990619976f2f004e9ff7c/history

CertiK:5月份記錄了35次重大攻擊,總損失約為7330萬美元:金色財經報道,據CertiK監測,5月份記錄了35次重大攻擊,總損失約為7330萬美元。[2023/6/3 11:55:27]

相關地址

攻擊者地址:https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c

攻擊者合約:https://bscscan.com/address/0x9a843bb125a3c03f496cb44653741f2cef82f445

FEG代幣地址:https://bscscan.com/token/0xacfc95585d80ab62f67a14c566c1b7a49fe91167

FEG Wrapped BNB(fBNB): https://bscscan.com/address/0x87b1acce6a1958e522233a737313c086551a5c76#code

Messari:2022年Balancer鎖倉量下降57%:1月10日消息,加密分析公司Messari發布《2022四季度Balancer狀態報告》。數據顯示,四季度Balancer在以太坊上的鎖倉量下降了10%,但是在Polygon、Arbitrum和Optimism上的鎖倉量卻分別增加了42%、71%和20%,這些Layer 2上的鎖倉量增長大部分歸功于來自Lido和Rocket Pool的外部激勵,這兩個DeFi協議在Arbitrum和Optimism鏈上Balancer流動性池鎖倉量中占比達到約50%。

縱觀整個2022 年,Balancer總鎖倉量下降了57%,但表現仍好于整體加密貨幣市場和其他DeFi協議,其跌幅小于競爭對手Uniswap(-61%)、Sushiswap(-90%)和Curve(-84%)。[2023/1/10 11:04:11]

攻擊步驟

動態 | 挪威公司Cermaq利用區塊鏈技術進行鮭魚溯源:據The Next Web今日消息,挪威公司Cermaq和法國食品公司Labeyrie合作,利用區塊鏈技術對三文魚進行溯源。鮭魚的來源、養殖方式、大小及養殖設施位置等信息均可進行查詢溯源。[2019/11/20]

以下攻擊流程基于該漏洞交易:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063

① 攻擊者借貸915 WBNB,并將其中116 BNB存入fBNB。

② 攻擊者創建了10個地址,以便在后續攻擊中使用。

③攻擊者通過調用 "depositInternal() "將fBNB存入合約FEGexPRO。

根據當前地址的余額,"_balances2[msg.sender]"被增加。

④ 攻擊者調用了 "swapToSwap()",路徑參數是之前創建的合約地址。

該函數允許 "path "獲取FEGexPRO合約的114 fBNB。

⑤ 攻擊者反復調用 "depositInternal() "和 "swapToSwap()"(步驟③和④),允許多個地址(在步驟②中創建)獲取fBNB代幣,原因如下:

每次 "depositInternal() "被調用,_balance2[msg.sender]將增加約114 fBNB。

每次"swapToSwap()"被調用,攻擊者所創建合約能獲取該114 fBNB的使用權限。

⑥?由于攻擊者控制了10個地址,每個地址均可從當前地址花費114個fBNB,因此攻擊者能夠盜取被攻擊合約內的所有fBNB。

⑦ 攻擊者重復步驟④⑤⑥,在合約內耗盡FEG代幣。

⑧ 最后攻擊者出售了所有耗盡的資產,并償還閃電貸款,最終獲取了其余利潤。

資產去向

截至2022年5月16日6:43,被盜資金仍存儲在以太坊和BSC鏈上的攻擊者錢包(0x73b359d5da488eb2e97990619976f2f004e9ff7c)中。

原始資金來自以太坊和BSC的Tornado cash:https://etherscan.io/tx/0x0ff1b86c9e8618a088f8818db7d09830eaec42b82974986c855b207d1771fdbe

https://bscscan.com/tx/0x5bbf7793f30d568c40aa86802d63154f837e781d0b0965386ed9ac69a16eb6ab

攻擊者攻擊了13個FEGexPRO合約,以下為概覽:

Tags:BNBSWAPCERHTTbnb是傳銷組織嗎babyswap幣崩盤DEFILANCER幣CHTT幣

比特幣價格今日行情
元宇宙服務將成為下一個 Web3 互聯網時代的基礎_元宇宙:META

元宇宙的概念早在20世紀80年代就出現了,但直到最近幾年我們才看到成百上千的項目出現在這個領域.

1900/1/1 0:00:00
一位韓國人 用三天洗劫全球炒幣客_LUN:UNA

來源:視覺中國 “有一個女生靠做空LUNA幣,這兩天賺了1000多萬。”近日,一則一夜暴富的消息在社交網絡瘋傳.

1900/1/1 0:00:00
肖風:元宇宙的底層邏輯_元宇宙:數字人

元宇宙的預言和趨勢分析 元宇宙實際上早已來到了人間,來到了商業領域。 一、五連冠和EDG 前不久,EDG獲得《英雄聯盟》S11總決賽冠軍,這場決賽,據統計有4.5億人次觀看.

1900/1/1 0:00:00
Terra復興計劃正式通過 最關心的十件事都在這了_TER:Interest Bearing Bitcoin

北京時間 5 月 24 日晚,由 Terra 創始人 Do Kwon 提出“重建Terra生態計劃2”提案(Prop 1623)經過社區投票正式通過(通過率超過早先設置的? 50% 門檻).

1900/1/1 0:00:00
我們所說的“區塊鏈是無需信任的”是什么意思?_區塊鏈:LIBRA

轉自:老雅痞 我們中的許多人都因將區塊鏈描述為“無信任”系統而感到內疚。然而,我開始意識到“去信任”這個詞是模棱兩可的、令人困惑的,最重要的是,這種說法是不準確的。區塊鏈實際上并沒有消除信任.

1900/1/1 0:00:00
BAT數藏“三國殺”:13個平臺隔空對壘 IP爭奪日趨激烈_BAT:哪個不是區塊鏈特性

三家頭部互聯網大廠,13個數藏平臺,各有特點。BAT的現有地位和優勢,是否有利于其在數藏領域攻城掠地?數藏征途又將帶給它們什么樣的影響?當二級市場批量產生,它們能否保持一貫優勢?開發數字藏品,正.

1900/1/1 0:00:00
ads