北京时间2022年4月17日,CertiK审计团队监测到Beanstalk协议被恶意利用,导致24,830 ETH和36,398,226 BEAN遭受损失。攻击者创建了一个恶意提案,通过闪电贷获得了足够多的投票,并执行了该提案,从而从协议中窃取了资产。目前,攻击者已将所有的ETH(约4.7亿人民币)转移到了Tornado Cash。
攻击前黑客的准备行动:
攻击者将一些BEAN代币存入Beanstalk,用以创建恶意提案 "InitBip18"。该提案一旦生效,将把协议中的资产转移给攻击者。
正式发起攻击流程:
攻击者闪电贷了3.5亿Dai、5亿USDC、1.5亿USDT、3200万Bean和1160万LUSD。
闪电贷的资产被转换为795,425,740 BEAN3Crv-f和58,924,887 BEANLUSD-f。
攻击者将步骤中获得的所有资产存入Diamond合约,并投票给恶意的BIP18提案。
Gate.io将于今日中午12点开通FIN/USDT交易:据官方公告,Gate.io投票上币空投福利第65期DeFiner(FIN)投票上币活动结束,本次活动参与人数为 1,345,共投出41,888,110票。票数超过1000万票,符合上币要求。按照规则,Gate.io已为用户空投40,320 FIN代币奖励,并将于12月4日(今日)12:00开通FIN/USDT交易,随后开通提现服务。[2020/12/4 23:04:50]
函数emergencyCommit()被立即调用以执行恶意的BIP18提案。
在步骤3和4之后,攻击者能够窃取合约中的36,084,584 BEAN, 0.54 UNIV2(BEAN-WETH), 874,663,982 BEAN3Crv及60,562,844 BEANLUSD-f。
攻击者利用在步骤5中窃取的资产来偿还闪电贷,并获得了其余的24,830 WETH和36,398,226 BEAN作为利润。
该漏洞的根本原因:
Silo系统中用于投票的BEAN3Crv-f和BEANLUSD-f?可以通过闪电贷获得。然而,由于Beanstalk协议中缺乏反闪电贷机制,攻击者可以借用该协议所支持的众多代币从而为恶意提案投票。
攻击者如何绕过验证:
为了通过 "emergencyCommit() "执行提案,攻击者需要绕过以下验证。
验证一:确保BIP被提出后,有24小时的窗口期。
验证二:确保对某一特定BIP的投票比例不低于阈值,即?。
由于BIP18提案是在一天前创建,因此验证一可被绕过;通过闪电贷,BIP18提案获得了78%以上的投票,超过了67%,因此绕过了验证二。
漏洞交易
BIP18提案:https://etherscan.io/tx/0x68cdec0ac76454c3b0f7af0b8a3895db00adf6daaf3b50a99716858c4fa54c6f
执行BIP18:https://etherscan.io/tx/0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7
合约地址
受害者合约:https://etherscan.io/address/0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5#code
攻击者合约:https://etherscan.io/address/0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4
恶意提案:https://etherscan.io/address/0xe5ecf73603d98a0128f05ed30506ac7a663dbb69
攻击者初始资金活动:https://arbiscan.io/address/0x71a715ff99a27cc19a6982ae5ab0f5b070edfd35
https://debank.com/profile/0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4/history
通过审计,我们可以发现闪电贷可用于操纵投票这一风险因素。攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警(攻击、欺诈、跑路等)相关的信息。
谷歌搜索数据和交易所活动表明,加密货币投资者正在寻找下一个将新的资本带入生态系统的大爆元素,而散户的兴趣则在逐渐下降。 关于加密货币投资者的期望的主要叙述之一是,公众的看法将发生重大转变,引发来自零售和机构交易者的新一轮资本。
原标题:《FV III: The End of The Beginning》 导读:今日,Framework Ventures 宣布完成募集规模达 4 亿美元基金“FVIII”,用于投资早期区块链游戏、Web3 和 DeFi 初创公司和网络。目前,Framework Ventures 管理大约 14 亿美元的资产,是加密行业最成功的风投机构之一。
从融资角度分析,GameFi的热度居高不下。 据Footprint Analytics数据显示:在刚刚过去的3月,已经有30+ GameFi项目获得了资本的青睐,GameFi赛道的月融资总额超4亿美元,而且GameFi玩家日活数据也突破百万。
加密货币在世界主要经济体中的存在,为该行业的不同初创公司创造了一个大机会,导致对加密资产的大量需求。这个新诞生的市场帮助开发了更多的工作和教育机会。 此外,一些世界顶级的大学和教育机构,包括麻省理工学院、牛津大学和哈佛大学,已经在他们的课程中加入了这一新兴技术。 以下是一些在教学大纲中加入区块链相关科目的世界一流大学。
以太坊基金会成员预计“合并”将在年底之前发生,精明的期权交易者将使用这种期权策略获利。 以太坊期待已久的从工作量证明(PoW)挖矿的过渡最近再次出现延迟,预计将在 2022 年下半年发生。 以太坊开发者 Tim Beiko 在 4 月 13 日表示,“不会是 6 月,但可能会在之后的几个月内。
Meme(模因)指通过描绘出特定观众的想法和感受而引起共鸣的图像或视频。在过去的几年里,模因经常被用来开玩笑或唤起共鸣。作为一种社会现象,模因也随着使用它们的人而发展。随着区块链和 NFT 的日益普及,NFT已经变成了病式模因的最新载体。
链资讯