北京时间2022年4月17日,CertiK审计团队监测到Beanstalk协议被恶意利用,导致24,830ETH和36,398,226BEAN遭受损失。攻击者创建了一个恶意提案,通过闪电贷获得了足够多的投票,并执行了该提案,从而从协议中窃取了资产。目前,攻击者已将所有的ETH转移到了TornadoCash。
攻击步骤
攻击前黑客的准备行动:攻击者将一些BEAN代币存入Beanstalk,用以创建恶意提案"InitBip18"。该提案一旦生效,将把协议中的资产转移给攻击者。正式发起攻击流程:①攻击者闪电贷了3.5亿Dai、5亿USDC、1.5亿USDT、3200万Bean和1160万LUSD。②闪电贷的资产被转换为795,425,740BEAN3Crv-f和58,924,887BEANLUSD-f。③攻击者将步骤中获得的所有资产存入Diamond合约,并投票给恶意的BIP18提案。④函数emergencyCommit()被立即调用以执行恶意的BIP18提案。⑤在步骤3和4之后,攻击者能够窃取合约中的36,084,584BEAN,0.54UNIV2(BEAN-WETH),874,663,982BEAN3Crv及60,562,844BEANLUSD-f。⑥攻击者利用在步骤5中窃取的资产来偿还闪电贷,并获得了其余的24,830WETH和36,398,226BEAN作为利润。
经济学家Henrik Zeberg:只要经济不陷入衰退比特币和其他加密货币会继续上涨:金色财经报道,经济学家、资深交易员Henrik Zeberg就BTC和整个加密货币市场的现状发表了详细的看法,Zeberg对当前市场状况的看法目前仍然乐观。只要经济不陷入衰退,比特币和其他加密货币的价格就会继续上涨。Zeberg 说,这是由于流动性涌入系统。
\u2028至于中期前景,Henrik Zeberg仍然持悲观态度。此前,这位经济学家曾声称,自 1929 年以来最严重的金融危机即将到来,而且今年可能已经发生。提请注意所有相同的 Swissblock 指标,Zeberg 表示已经达到顶峰,顶部开始崩塌,这与 2008 年类似,是崩盘的开始。[2023/3/16 13:08:03]
漏洞分析
应莹:只要人民银行宽松的货币政策没变,反弹还将持续:7月17日消息,徐翔妻子应莹今日在个人公众号上发布“每周市场点评”:全球疫情突变,世卫称奥密克戎变体的传播令病例数增加,或将引发经济衰退。全球持续高通胀使美联储提升加息概率,引发市场担忧,导致外资流出。但市场政策只要人民银行宽松的货币政策没变,反弹还将持续。未来新一轮经济驱动需要破坏性创造,降低经济活动的交易费用,创新的企业和生产率高的产业将引领经济。风险方面,通胀超预期,流动性收紧。(金十)[2022/7/17 2:19:15]
该漏洞的根本原因:
Bitfly官方:只要DeFi保持盈利 Gas价格就不会很快下降:7月24日,Bitfly(Ethermine矿池母公司)官方发推称,以太坊网络目前正在经历Gas费用涨至100 Gwei以上的阶段。大部分区块都包含DeFi和智能合约的交互。只要DeFi保持盈利,Gas价格就不会很快下降。[2020/7/24]
Silo系统中用于投票的BEAN3Crv-f和BEANLUSD-f?可以通过闪电贷获得。然而,由于Beanstalk协议中缺乏反闪电贷机制,攻击者可以借用该协议所支持的众多代币从而为恶意提案投票。
分析师:BTC只要高于4000美元,很多矿工都有利可图:加密货币分析师JacobCanfield今日在推特上表示,随着比特币价格下跌,市场效率将掌握话语权。以下是挖掘比特币最便宜的5个地方:1.委内瑞拉:531美元2.特立尼达和多巴哥:1190美元3.乌兹别克斯坦:1788美元4.乌克兰:1852美元5.科威特:1983美元Canfield进一步表示,比特币价格的关键水平是4000美元。如果其价格高于这个水平,挖矿对“许多”企业家来说就是有利可图的。[2020/3/10]
攻击者如何绕过验证:
为了通过"emergencyCommit()"执行提案,攻击者需要绕过以下验证。
验证一:确保BIP被提出后,有24小时的窗口期。验证二:确保对某一特定BIP的投票比例不低于阈值,即?。由于BIP18提案是在一天前创建,因此验证一可被绕过;通过闪电贷,BIP18提案获得了78%以上的投票,超过了67%,因此绕过了验证二。
资产去向
其他细节
漏洞交易
BIP18提案:https://etherscan.io/tx/0x68cdec0ac76454c3b0f7af0b8a3895db00adf6daaf3b50a99716858c4fa54c6f执行BIP18:https://etherscan.io/tx/0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7合约地址
受害者合约:https://etherscan.io/address/0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5#code攻击者合约:https://etherscan.io/address/0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4恶意提案:https://etherscan.io/address/0xe5ecf73603d98a0128f05ed30506ac7a663dbb69攻击者初始资金活动:https://arbiscan.io/address/0x71a715ff99a27cc19a6982ae5ab0f5b070edfd35https://debank.com/profile/0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4/history
?写在最后
通过审计,我们可以发现闪电贷可用于操纵投票这一风险因素。攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。
来源:Medium 作者:KevinZhou 翻译:Chole ??概述 在2020年和2021年的双牛市周期中,“叙事”占据了主导地位,对一个代币项目来说.
??最近,随着知名稳定币公链Celo提出转向?Celestia?并建立主权Rollup的路线图计划,笔者开始思考基于以太坊的Rollup和基于Celestia的Rollup到底有何不可.
入行的背景以及早期的故事Eric:所以我今天非常兴奋地邀请RyanSelkis参加播客。对于那些不了解Ryan的人来说,我可以给出的最好的比喻是,我觉得我在和加密货币世界的谷歌对话.
短短5天的时间里,Moonbirds系列NFT在市场蹿红,这个由10000个装饰、形态各异的卡通猫头鹰组成的NFT系列,以超3.1亿美元的销售额登上交易榜首.
2022年,GameFi项目层出不穷,也涌现了很多认真做事的项目,其中,UndeadBlocks以趣味性、潮流、盈利机制等设计配合NFT、GameFi等元素脱颖而出,在全球各大社区引发广泛关注.
作者:NFTGo 在加密货币市场,巨鲸是指持有大量特定代币的对象——个人、机构和交易所。例如,当谈到比特币时,巨鲸一般是指持有1000个或更多比特币的账户.
链资讯