北京时间2022年5月16日凌晨4:22:49,CertiK安全技术团队监测到FEG在以太坊和BNB链上遭受大规模闪电贷攻击,导致了价值约130万美元的资产损失。
此攻击是由“swapToSwap()”函数中的一个漏洞造成的,该函数在未对传入参数进行筛查验证的情况下,直接将用户输入的"path"作为受信任方,允许未经验证的"path"参数来使用当前合约的资产。
因此,通过反复调用"depositInternal()"和"swapToSwap()",攻击者可获得无限制使用当前合约资产的许可,从而盗取合约内的所有资产。
UCC联合商业社区比特星球已于4月28日正式上线:据官方消息,比特星球(Bitstar)是一个基于区块链的短视频娱乐生活分享平台。平台采用UCC联合商业社区的分布式商业区块链技术解决方案,实现平台上的内容创作者、分享者、KOL、消费者、广告主等用户对数据和流量的创造被公平确权,对数据和流量的使用变得公开透明可追溯,帮助海量用户获得视频商业和数字经济时代红利。
UCC联合商业社区是一个分布式商业生态社区,由全球区块链技术专家、投资银行和商业咨询机构专家于新加坡发起成立,旨在为分布式商业应用提供泛技术与经济解决方案。目前,社区内已有黑金公社、Flash TV、比特星球等商业应用落地,比特星球的加入将为社区生态带来海量用户,进一步完善分布式商业。[2021/4/29 21:09:41]
受影响的合约地址之一:https://bscscan.com/address/0x818e2013dd7d9bf4547aaabf6b617c1262578bc7
动态 | 二三四五被曝涉嫌炒币后 与章鱼星球火速切割:据财联社消息,日前“星球联盟STC(星星币)悄然上线交易所”的消息被曝出后,二三四五(002195.SZ)再次强调,绝不涉入STC交易行为,还称宣传交易STC的“章鱼星球”服务号与二三四五毫无关系。22日,“章鱼星球”服务号已更改了头像、名称,并删除所有涉币信息。但记者发现,数链评级曾发布STC项目评测报告,明确披露了STC的上币情况及上币计划,并称该消息是从二三四五方面获得。对此,二三四五尚未作出回应。[2018/10/24]
https://debank.com/profile/0x73b359d5da488eb2e97990619976f2f004e9ff7c/historyhttps://bscscan.com/address/0x87b1acce6a1958e522233a737313c086551a5c76#code
“网易星球”日活用户已达百万量级,“黑钻”竞拍活动遭玩家质疑:自“网易星球”2月初上线以来,因网易品牌加持,获得极大关注,上线不到24小时,已有数万人注册成为“星球居民”。据“网易星球”产品负责人顾费勇透露,目前“网易星球”日活用户已达百万量级。然而网易星球本次黑钻竞拍活动引发诸多争议,有网友质疑星球官方团队有后台操纵拍卖和数据造假的嫌疑。“网易星球”产品负责人对此表示了否认。[2018/3/28]
③攻击者通过调用"depositInternal()"将fBNB存入合约FEGexPRO。
根据当前地址的余额,"_balances2"被增加。
④攻击者调用了"swapToSwap()",路径参数是之前创建的合约地址。
该函数允许"path"获取FEGexPRO合约的114fBNB。
⑤攻击者反复调用"depositInternal()"和"swapToSwap()",允许多个地址获取fBNB代币,原因如下:
每次"depositInternal()"被调用,_balance2将增加约114fBNB。
每次"swapToSwap()"被调用,攻击者所创建合约能获取该114fBNB的使用权限。
⑥?由于攻击者控制了10个地址,每个地址均可从当前地址花费114个fBNB,因此攻击者能够盗取被攻击合约内的所有fBNB。
⑦攻击者重复步骤④⑤⑥,在合约内耗尽FEG代币。
⑧最后攻击者出售了所有耗尽的资产,并偿还闪电贷款,最终获取了其余利润。
钱包中。
原始资金来自以太坊和BSC的Tornadocash:https://etherscan.io/tx/0x0ff1b86c9e8618a088f8818db7d09830eaec42b82974986c855b207d1771fdbe
https://bscscan.com/tx/0x5bbf7793f30d568c40aa86802d63154f837e781d0b0965386ed9ac69a16eb6ab
攻击者攻击了13个FEGexPRO合约,以下为概览:
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。