BSC:UmbNetwork奖励池攻击事件分析_Bithumb

一、前言

北京时间2022年3月21日，知道创宇区块链安全实验室?监测到BSC链和以太坊上的UmbNetwork奖励池遭到黑客攻击，损失约70万美元。实验室第一时间对本次事件进行跟踪并分析。

二、基础信息

攻击者地址：0x1751e3e1aaf1a3e7b973c889b7531f43fc59f7d0

Wirex Credit在英国推出并新增WXT作为抵押品选项:8月4日消息，加密支付公司Wirex已经将Wirex Credit计划扩展到新的地区，并开发了其他功能。其加密支持的信贷额度现在可供英国用户使用，并添加了WXT代币作为抵押。

此前消息，Wirex推出加密支持的信贷Wirex Credit，Wirex Credit提供以USDC、USDT和NXUSD等稳定币发行的近乎即时的贷款，在Wirex应用程序中提供高达80%的LTV（贷款价值比）。（PR Newswire）[2022/8/4 12:02:33]

攻击合约：0x89767960b76b009416bc7ff4a4b79051eed0a9ee

XTZ突破4美元关口 日内涨幅为12.58%:火币全球站数据显示，XTZ短线上涨，突破4美元关口，现报4.001美元，日内涨幅达到12.58%，行情波动较大，请做好风险控制。[2021/2/11 19:31:18]

StakingRewards合约:0xB3FB1D01B07A706736Ca175f827e4F56021b85dE

动态 | 比利时金融服务和市场管理局发布关于加密公司XTB-Markets的警告:据Finance Magnates报道，比利时金融服务和市场管理局（FSMA）在其警告名单上又增加了一家加密公司XTB-Markets。根据官方声明，FSMA发现该加密交易平台很“可疑”，并建议潜在投资者不要对该平台的任何服务做出回应。目前，被列入FSMA警告名单的公司数量已达到121家。[2019/8/21]

以太坊交易哈希：0x33479bcfbc792aa0f8103ab0d7a3784788b5b0e1467c81ffbed1b7682660b4fa

BSC交易哈希：0x784b68dc7d06ee181f3127d5eb5331850b5e690cc63dd099cd7b8dc863204bf6

三、漏洞分析

此次事件，漏洞关键在于UmbNetwork奖励池的StakingRewards合约中的?_balance?函数出现溢出漏洞，合约未校验检查?balance?的值，攻击者通过?amount?发起下溢攻击，抽空了池子中的代币。

从合约代码我们可以看出，合约未正确使用SafeMath安全库且未作溢出检查，导致此次攻击发生。

四、攻击流程

攻击者从BSC链发起攻击获取156枚pancake-LP代币:

攻击者在以太坊上发起攻击获取8792枚UNI-V2代币:

随后攻击者分别将代币转分别换成ETH、UMB和BNB，获利约70万美元。

五、分析

本次攻击事件核心是由于合约未正确使用SafeMath库并且未对合约进行溢出检查导致合约出现溢出漏洞，而导致了此次事件的发生，建议项目方多加注意检查合约是否正确使用各类安全库。

近期，各类合约漏洞安全事件频发，合约审计、风控措施、应急计划等都有必要切实落实。

标签：BSCANC以太坊UMBPXBSC币Mythic Finance以太坊最新价格行情Bithumb

波场热门资讯