北京时间2022年5月16日凌晨4:22:49,CertiK安全技术团队监测到FEG在以太坊和BNB链上遭受大规模闪电贷攻击,导致了价值约130万美元的资产损失。
此攻击是由“swapToSwap()”函数中的一个漏洞造成的,该函数在未对传入参数进行筛查验证的情况下,直接将用户输入的"path"作为受信任方,允许未经验证的"path"参数来使用当前合约的资产。
因此,通过反复调用"depositInternal()"和"swapToSwap()",攻击者可获得无限制使用当前合约资产的许可,从而盗取合约内的所有资产。
加密矿企Rhodium计划进行的IPO估值达17亿美元:1月14日消息,美国SEC监管文件显示,比特币矿商 Rhodium Enterprises 计划在首次公开募股 (IPO) 中以每股12至14美元的价格发行769万股股票,交易代码为 RHDM。IPO 后该公司将拥有约 5680 万股 A 类流通股和 6750 万股 B 类流通股,这意味着市值在 14.9 亿美元至 17.4 亿美元之间。截至9月30日,公司将利用 IPO 所得款项偿还其未偿债务和过桥贷款的应计利息,总额约为 3100 万美元。Rhodium 还将利用这些资金建设新场地和用于一般公司用途,包括购买矿机。截至12月31日,Rhodium 在其德克萨斯工厂拥有约 125 兆瓦 (MW) 的采矿能力,能够运行超过 33,600 台矿机,总哈希率容量约为每秒 2.7 exahash。(coindesk)[2022/1/14 8:48:19]
受影响的合约地址之一:https://bscscan.com/address/0x818e2013dd7d9bf4547aaabf6b617c1262578bc7
加密交易员:比特币的主导地位正在攀升并保持强劲:10月10日消息,加密交易员Bitbit BTFD发推表示,ETH和大多数山寨币都反对比特币,当然其中包括以太坊和Solana上的所有NFT。换句话说,比特币的主导地位正在攀升并保持强劲。如果现在是2017年,那么这一定是比特币再次上涨的信号。[2021/10/10 20:18:32]
漏洞交易
漏洞地址:https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c
漏洞交易样本:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063
分析 | 60%的新用户仍害怕使用加密付款:据CCN报道,FIO的一份调查显示,当被问及在发送加密付款后感觉如何时,60%的加密新用户未能回答“非常舒适”。对于持有加密货币不到三年的用户,这个数字约为79%。[2019/3/12]
被盗资金追踪:https://debank.com/profile/0x73b359d5da488eb2e97990619976f2f004e9ff7c/history
相关地址
攻击者地址:https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c
攻击者合约:https://bscscan.com/address/0x9a843bb125a3c03f496cb44653741f2cef82f445
动态 | 三星推出新7NM芯片生产工艺,或使加密矿工受益:根据官方新闻稿,三星的生产部门三星Foundry推出了一项新生产工艺——7nm低功率Plus(7LPP)工艺,可将能耗降低50%。虽然三星没有透露第一批使用新7LPP制造技术的客户名字,但该公司暗示第一批使用新芯片的客户将针对移动和高性能计算(HPC)应用。据悉,这可能会对使用三星硬件的加密矿工产生积极影响,因为能源成本被证明是该行业盈利能力的关键因素。[2018/10/19]
FEG代币地址:https://bscscan.com/token/0xacfc95585d80ab62f67a14c566c1b7a49fe91167
FEGWrappedBNB(fBNB):https://bscscan.com/address/0x87b1acce6a1958e522233a737313c086551a5c76#code
动态 | 太平洋地区国家警惕加密货币投资行为:据abc.net消息,太平洋地区的几个国家包括瓦努阿图、萨摩亚和巴布亚新几内亚的中央银行都曾发布声明,提醒公民在投资加密货币时保持谨慎。瓦努阿图储备银行行长Simeon Athy称:“我们担心国家的声誉受到该活动(加密货币投资)的影响”,并表示加密货币行业尚未得到足够的监管或理解,所以他建议人们远离;但这些国家同时表示,他们并不完全反对区块链技术,并采取相关行动以期促进该行业的良性发展。[2018/10/11]
攻击步骤
以下攻击流程基于该漏洞交易:https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063
①攻击者借贷915WBNB,并将其中116BNB存入fBNB。
②攻击者创建了10个地址,以便在后续攻击中使用。
③攻击者通过调用"depositInternal()"将fBNB存入合约FEGexPRO。
根据当前地址的余额,"_balances2"被增加。
④攻击者调用了"swapToSwap()",路径参数是之前创建的合约地址。
该函数允许"path"获取FEGexPRO合约的114fBNB。
⑤攻击者反复调用"depositInternal()"和"swapToSwap()",允许多个地址获取fBNB代币,原因如下:
每次"depositInternal()"被调用,_balance2将增加约114fBNB。
每次"swapToSwap()"被调用,攻击者所创建合约能获取该114fBNB的使用权限。
⑥由于攻击者控制了10个地址,每个地址均可从当前地址花费114个fBNB,因此攻击者能够盗取被攻击合约内的所有fBNB。
⑦攻击者重复步骤④⑤⑥,在合约内耗尽FEG代币。
⑧最后攻击者出售了所有耗尽的资产,并偿还闪电贷款,最终获取了其余利润。
资产去向
截至2022年5月16日6:43,被盗资金仍存储在以太坊和BSC链上的攻击者钱包中。
原始资金来自以太坊和BSC的Tornadocash:https://etherscan.io/tx/0x0ff1b86c9e8618a088f8818db7d09830eaec42b82974986c855b207d1771fdbe
https://bscscan.com/tx/0x5bbf7793f30d568c40aa86802d63154f837e781d0b0965386ed9ac69a16eb6ab
攻击者攻击了13个FEGexPRO合约,以下为概览:
写在最后
本次攻击事件本可通过安全审计来有效地避免。
CertiK安全专家认为审计过程中可以检查出该风险——不受信任的"path"参数被传递到协议中,并获取合约资产支出的权限。审计专家会将该风险归类于主要风险级别,此外,如果进行更深层次的挖掘,还可列明被利用的多种可能。
4月15日晚8时,APENFTMarketplace全球线上发布会准时开幕。波场TRON创始人孙宇晨先生作为嘉宾分享了对于刚刚主网上线的APENFTMarketplace的一些看法,以及他将“猴.
GCADAO官方发布 威尼斯双年展委员会于2022年1月30日向22位来自世界各地的22位加密艺术家发出了参展邀请,正式确认他们参加由第59届威尼斯双年展喀麦隆国家馆主办.
概要 民主与DAO之间的关系?这个话题在上周关于反侵占的对话中冒了出来,当时一位社区成员问道:“DAO是否可以看作是民主最先进的实例”.
2022年4月17日,成都链安链必应-区块链安全态势感知平台舆情监测显示,算法稳定币项目BeanstalkFarms遭黑客攻击,黑客获利近8000万美元.
Polkadot生态研究院出品,必属精品 背景 2021年11月11日,波卡迎来了上线后的重要里程碑,波卡网络平行链插槽Auction正式启动,在经历了一个多月的激烈角逐后.
数据:Bitfinex上巨鲸已平仓其70%空头仓位3月15日消息,据Bitfinex合约市场数据显示,Bitfinex上此前重仓做空的BTC巨鲸现已平仓其大部分空头仓位.