2022年5月16日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,Ethereum和BNB Chain上FEGtoken項目的FEGexPRO合約遭受黑客攻擊,黑客獲利約3280?BNB?以及144 ETH,價值約130萬美元。成都鏈安技術團隊對事件進行了分析,結果如下。
事件相關信息
本次攻擊事件包含多筆交易,部分交易信息如下所示:
攻擊交易?(部分)
0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063?(BNB Chain)
sudoswap上線V2版本:6月9日消息,NFT 交易協議 sudoswap 宣布上線 V2 版本,升級內容包括鏈上版稅、自定義創作者設置、ERC-1155 支持、條件訂單、費用流和 Gas 優化等。[2023/6/9 21:25:36]
0x1e769a59a5a9dabec0cb7f21a3e346f55ae1972bb18ae5eeacdaa0bc3424abd2?(Ethereum)
攻擊者地址
0x73b359d5da488eb2e97990619976f2f004e9ff7c
攻擊合約
0x9a843bb125a3c03f496cb44653741f2cef82f445
被攻擊合約(部分)
0x818e2013dd7d9bf4547aaabf6b617c1262578bc7?(BNB Chain)
韓國央行報告:有必要引入IE0系統,并考慮將穩定幣納入外匯交易監管范疇:12月5日消息,韓國央行金融結算局電子金融調查組今日發布題為“加密資產監管相關的關鍵問題和立法方向”的報告,報告認為,有必要在韓國引入加密資產的IE0系統,并考慮對穩定幣等適用外匯交易監管規定。韓國央行認為有必要引入只允許經過交易所審查發行加密資產的IE0方案,但禁止加密資產發行人以直接出售加密資產的方式的籌集資金。即在向投資者出售加密資產時,發行人并不直接出售,而是加密資產交易所對發行公司的人力、技術、財務、策略等進行評估,然后通過交易所出售,從而保護投資者。報告指出,由于加密資產交易所的項目評估能力和流程在引入IE0時很重要,因此交易所需要制定篩選標準和程序。有必要對加密資產交易是否適用外匯交易相關規定進行討論。因為加密資產和全球 Stablecoin 的跨境匯款越來越多,因此有必要在《外匯交易法》中明確加密資產的法律性質,將購買加密資產的資金匯款、存入和交易等明示為資本交易。(CoinDesk Korea)[2022/12/5 21:23:13]
0xf2bda964ec2d2fcb1610c886ed4831bf58f64948 (Ethereum)
美國國會議員:數字美元必須是開放的、無許可的和私有的:金色財經報道,美國國會9名議員簽署的一封信稱,數字美元(CBDC)必須是開放的、無許可的和私有的。[2022/12/4 21:20:44]
Ethereum和BNB Chain上使用攻擊手法相同,以下分析基于BNB Chain上攻擊:
1. 攻擊者調用攻擊合約(0x9a84...f445)利用閃電貸從DVM合約(0xd534...0dd7)中借貸915.84 WBNB,然后將116.81 WBNB兌換成115.65 fBNB為后續攻擊做準備。
2. 攻擊者利用攻擊合約創建了10個合約,為后續攻擊做準備。
數據:6900萬枚USDT從Kraken轉移至Bitfinex:金色財經報道,Whale Alert數據顯示, 68,995,176枚USDC(69,060,031 USD)從Kraken轉移至Bitfinex。[2022/10/26 16:39:03]
3. 攻擊者接下來將兌換得到的fBNB代幣抵押到FEGexPRO合約(0x818e...8bc7)中。
4. ?然后攻擊者重復調用depositInternal和swapToSwap函數,讓FEGexPRO合約授權fBNB給之前創建好的其他攻擊合約。
BIS任命瑞典央行的 Cecilia Skingsley 為 BIS 創新中心的負責人:金色財經報道,國際清算銀行已任命瑞典央行的 Cecilia Skingsley 為 BIS 創新中心的負責人。現任瑞典中央銀行第一副行長的斯金斯利將于 9 月加入國際清算銀行,任期五年,接替 1 月份被任命為法國競爭管理局主席的 Beno?t C?uré。
國際清算銀行創新中心成立于 2019 年,旨在支持金融技術新領域的探索工作,在香港、倫敦、新加坡、斯德哥爾摩和瑞士設有中心。另外兩個中心,位于法蘭克福/巴黎和多倫多,將于今年開業。該中心的項目側重于諸如中央銀行數字貨幣(CBDC)、下一代金融市場基礎設施、監管技術、開放金融、網絡安全和綠色金融等優先主題。
Sverige Riksbank 在探索 CBDC 的可行性方面比大多數中央銀行走得更遠,而 Skingsley 在推進旨在發展 CBDC 的關鍵國際舉措方面發揮了關鍵作用。[2022/6/8 4:09:40]
5. ?然后利用其他攻擊合約調用transferFrom函數將FEGexPRO合約中fBNB全部轉移到攻擊合約(0x9a84...f445)中。
6. 接下來又在LP交易對合約(0x2aa7...6c14)中借貸31,217,683,882,286.007211154 FEG代幣和423 WBNB。
7. 然后重復3、4、5步驟的攻擊手法,將FEGexPRO合約中大量FEG代幣盜取到攻擊合約中。
8. 然后歸還閃電貸,將獲得的WBNB轉入攻擊合約中完成此筆攻擊。
9. 此后,又利用相同的原理,執行了50余筆相同的攻擊,最獲利約144 ETH和3280 BNB。
本次攻擊主要利用了FEGexPRO合約中swapToSwap函數中path地址可控且合約中未對path地址進行有效性校驗的漏洞。由于合約中depositInternal函數中更新用戶余額時依賴于合約中當前代幣余額,攻擊者通過傳入一個惡意的path地址,調用swapToSwap函數時合約中代幣余額并未發生變化,導致攻擊者可以反復重置攻擊合約在FEGexPRO合約中記錄的代幣數量,從而讓FEGexPRO合約將自身代幣反復授權給攻擊者所控制的多個惡意合約。
截止發文時,被盜資金仍在攻擊者地址(0x73b3...ff7c)中并未轉移。
針對本次事件,成都鏈安技術團隊建議:
項目開發時,應該注意與其他合約交互時可能存在的安全風險,盡量避免將關鍵參數設置為用戶可控。如果業務需求如此,則需要嚴格判斷用戶輸入的參數是否存在風險。此外建議項目上線前選擇專業的安全審計公司進行全面的安全審計,規避安全風險。
5 月 21 日,NFT 市場 OpenSea 宣布推出全新 Web3 NFT 市場協議 Seaport,今天我想表達的是為什么它對去中心化很重要.
1900/1/1 0:00:00近年來,我國相繼出臺不少政策,要求全面整頓、清理虛擬貨幣炒作和“挖礦”等行為。“看到有人在網上兜售‘礦機’,買賣‘礦機’合法嗎?”近日,有網友通過武漢城市留言板反映上述問題.
1900/1/1 0:00:00約翰斯·霍普金斯大學應用經濟學教授?Steve H. Hanke?今日在《華爾街日報》發文稱,穩定幣的波動引發了要求制定行業規則的呼聲,但擬議中的立法不太可能結束這場動蕩.
1900/1/1 0:00:00DeFi 收益耕作的輝煌時代結束了嗎?隨著 Token 價格下跌,流動性挖礦激勵枯竭,鏈上活動放緩,DeFi 收益率繼續下降.
1900/1/1 0:00:002017 年春天,Multicoin Capital 的兩位創始人 Kyle 和 Tushar 在經歷了 ICO 泡沫之后,認清了加密投資缺乏分析框架的現狀,決定做加密世界的本杰明· 格雷厄姆.
1900/1/1 0:00:001.DeFi代幣總市值:531.54億美元 DeFi總市值 數據來源:coingecko2.過去24小時去中心化交易所的交易量:30.
1900/1/1 0:00:00