链资讯 链资讯
Ctrl+D收藏链资讯
首页 > Ethereum > 正文

ARI:Beanstalk Farms攻击事件分析:恶意提案如何防范?-ODAILY_BEA

作者:

时间:

2022年4月17日,成都链安链必应-区块链安全态势感知平台舆情监测显示,算法稳定币项目BeanstalkFarms遭黑客攻击,黑客获利近8000万美元,成都链安技术团队第一时间对事件进行了分析,结果如下。

#1事件相关信息

攻击交易

0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7

攻击者地址

0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4

攻击合约

0x79224bC0bf70EC34F0ef56ed8251619499a59dEf

被攻击合约

NFT巨鲸dingaling今日申领超315万枚Bean并已全部兑换为ETH:6月30日消息,据链上信息显示,NFT巨鲸收藏者dingaling今日通过多笔Claim交易共申领3,153,125枚Bean Token,并已全部兑换为共计10.666枚ETH。

据悉,Bean是由Azuki DAO(非官方)空投给Azuki系列NFT持有者的Token,共计50%的Bean将在24小时内开放申领。

据行情数据显示,Bean Token现报价0.005924美元。[2023/6/30 22:11:04]

0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5

#2攻击流程

1.攻击者从攻击的前一天发起了提案交易,提案通过会提取Beanstalk:BeanstalkProtocol合约中的资金。

NFT项目Okay Bears推出全新激励计划“Badges and Streaks”:2月18日,据官方推特,NFT项目Okay Bears宣布推出全新激励计划“Badges and Streaks”,让NFT持有者获得奖励,Badges(徽章)可以通过达到某些里程碑来获得,比如收集全部特征等,Streaks持有者分为三种类型,分别是GM streaks(使用Okay Bears平台发送品牌推文的NFT持有人和非持有人都可以获得参加定期抽奖活动)、rep streaks(已建立数字身份或代表Okay Bears IP的用户可参与每周抽奖)和sleep streaks(可通过delist NFT来获得实物或数字投放激励)。[2023/2/18 12:14:20]

数据:过去一周,The Beacon占Arbitrum合约交互量23.7%:金色财经报道,据DuneAnalytics数据显示,过去一周,Treasure生态链游The Beacon合约交互量占Arbitrum网络合约交互总量的23.7%,排名第一。此外,Uniswap和Treasure生态NFT交易平台Trove合约交互占比分列2、3位,占比分别为14.5%和11.8%。[2022/12/12 21:38:29]

2.黑客通过闪电贷换取了350,000,000个DAI,500,000,000个USDC,150,000,000个USDT,32,100,950个BEAN和11,643,065个LUSD作为资金储备。

声音 | Beam CTO:Beam钱包漏洞为应用程序本身bug:据coindesk报道,以隐私为重点的加密货币Beam背后的开发人员透露,上周他们的钱包软件中发现的“关键”漏洞可能会直接使用户资金面临风险。该漏洞可能或使攻击者创建“修改后的交易”,然后将用户资金直接发送到攻击者的钱包中。Beam CTO Alex Romanov解释称,该漏洞与mimblewimble、加密技术或任何基础技术无关。基本上只是应用程序本身的一个bug,只影响了钱包。[2019/1/17]

3.黑客将2步骤的DAI,USDC,USDT资金在Curve.fiDAI/USDC/USDT交易池中添加为979,691,328个3Crv流动性代币,用15,000,000个3Crv换来15,251,318个LUSD。

4.将964,691,328个3Crv代币兑换为795,425,740个BEAN3CRV-f用于投票,将32,100,950个BEAN和26,894,383LUSD添加流动性得到58,924,887个BEANLUSD-f流动性代币。

5.使用4步骤中的BEAN3CRV-f和BEANLUSD-f来对提案进行投票,导致提案通过。从而Beanstalk:BeanstalkProtocol合约向攻击合约转入了36,084,584个BEAN,0.54个UNI-V2,874,663,982个BEAN3CRV-f以及60,562,844个BEANLUSD-f。

6.最后攻击者将流动性移除并归还闪电贷,把多余的代币兑换为24830个ETH转入攻击者账户中。

#3漏洞分析

本次攻击主要利用了投票合约中的票数是根据账户中的代币持有量得到的。

攻击者至少在一天前发起提取Beanstalk:BeanstalkProtocol资金的提案,然后调用emergencyCommit进行紧急提交来执行提案,这个就是攻击者1天之前发起攻击准备的原因所在。

#4资金追踪

截止发文时,攻击者获利22029601个USDC,14742429个DAI,6,603,829个USDT与0.5407个UNI-V2,640224美元的BAEN代币资金近8000万,在攻击时将其中的25万USDC捐赠了乌克兰,之后攻击者将资金转换为ETH并将资金持续向Tornado.Cash转移。

针对本次事件,成都链安技术团队建议:

1.投票所用资金应在合约中锁定一定时间,避免使用账户的当前资金余额来统计投票数量,以避免可能出现的反复投票以及使用闪电贷进行投票;

2.项目方和社区应关注所有提案,如果提案是恶意提案,建议在提案投票期间应及时做出处理措施,将提案废弃,禁止其接受投票以及执行;

3.可考虑禁止合约地址参与投票;此外项目上线前最好进行全面的安全审计,规避安全风险。

标签:ARIBEAUSDGRAMInterest Bearing BitcoinXLMBEAR价格MUSDgram币停止交易

Ethereum热门资讯
DAO:威尼斯双年展委员会向22位加密艺术家发出参展邀请函-ODAILY_METADAO

GCADAO官方发布 威尼斯双年展委员会于2022年1月30日向22位来自世界各地的22位加密艺术家发出了参展邀请,正式确认他们参加由第59届威尼斯双年展喀麦隆国家馆主办.

DAO:DAOrayaki:DAO对于民主治理的启示-ODAILY_ADAX

概要 民主与DAO之间的关系?这个话题在上周关于反侵占的对话中冒了出来,当时一位社区成员问道:“DAO是否可以看作是民主最先进的实例”.

QUO:加密版无损「倒信用卡」获利百万美元,FEG闪电贷攻击事件分析-ODAILY_BHTT

北京时间2022年5月16日凌晨4:22:49,CertiK安全技术团队监测到FEG在以太坊和BNB链上遭受大规模闪电贷攻击,导致了价值约130万美元的资产损失.

QUO:为了发展生态,波卡官方都做出了哪些努力?-ODAILY_polkadotted

Polkadot生态研究院出品,必属精品 背景 2021年11月11日,波卡迎来了上线后的重要里程碑,波卡网络平行链插槽Auction正式启动,在经历了一个多月的激烈角逐后.

BIT:Bitfinex周报(0314-0320)-ODAILY_digifinex是什么

数据:Bitfinex上巨鲸已平仓其70%空头仓位3月15日消息,据Bitfinex合约市场数据显示,Bitfinex上此前重仓做空的BTC巨鲸现已平仓其大部分空头仓位.

NEX:防止项目方卷款跑路的新合约标准,ERC721R-ODAILY_INFINITYDOGE价格

推荐理由:本文讲述了ERC-721R合约标准出现的必要性以及想要实现的目的,接着讲述了合约标准的工作原理,并针对几个关于合约的典型问题进行解释,可以让读者更好地了解ERC-721R合约标准.