黑客攻击事件 算法稳定币项目Beanstalk Farms被盗损失达1.82亿美元

2022年4月17日,算法稳定币项目Beanstalk DAO遭受黑客攻击,损失已达1.82亿美元,包括7900多万BEAN3CRV-f、163万BEANLUSD-f、3600万BEAN和0.54个UNI-V2_WETH_BEAN。启动入侵的初始资金已被撤回至Synapse Protocol,且大部分收益都被存入Tornado.cash。目前,该项目稳定币BEAN价格已经从约1美元跌至0.136美元,跌幅达86%。

BeanStalk是一个分散的基于信用的稳定币协议。该协议由三个相互连接的组件组成:去中心化价格预言机、去中心化治理系统和去中心化信贷工具。根据该项目的白皮书介绍,BeanStalk使用动态挂钩维护机制,定期将1Bean(Beanstalk ERC-20标准稳定币)的价格超过其价值挂钩,而无需集中化或抵押要求。

3340万尼日利亚人正从事加密货币交易:金色财经报道,尼日利亚《抨击报》消息,尽管尼日利亚央行对加密货币交易进行了限制,但目前仍有约3340万尼日利亚人正在从事加密货币交易。据加密货币交易所 KuCoin的一份报告称,3340万尼日利亚人目前拥有或在过去六个月内交易过加密货币。2021年初,尼日利亚被谷歌趋势记录为全球比特币搜索量最高的国家,年轻人是搜索量激增的主要推动力量。尼日利亚货币过去6年贬值200%以上,推动了该国加密货币用户数量的增加。[2022/4/19 14:32:05]

此次攻击事件距离Axie Infinity 遭到黑客攻击损失6.25亿美元还不到一个月时间,Beanstalk受到了巨大的损失。这次的黑客攻击或源于前一天通过的BIP18,BIP18导致使用治理特权来抽干资金池的精心设计的代码来执行,黑客利用了Beanstalk的“投票合约中的票数是根据账户中的代币持有量来得到的”这一闪电贷漏洞完成了这次的攻击,并将获利的部分USDC转入了乌克兰加密捐赠地址。

知情人士:Coinbase首席执行官以1.33亿美元购入洛杉矶一处豪宅:1月4日消息,知情人士向华尔街日报透露,美国交易所Coinbase首席执行官 Brian Armstrong 于2021年12月以1.33亿美元购入洛杉矶一处豪宅,该交易是洛杉矶地区有史以来最昂贵的单户住宅交易之一。记录显示,卖方是一家与日本企业家富田英树有关联的有限责任公司,后者于 2018 年以 8500 万美元的价格购买了该住宅。(华尔街日报)[2022/1/4 8:23:31]

下面Armors Company Limited来具体分析一下黑客的攻击过程。

黑客从攻击的前一天发起了交易提案,提案通过以后将会从Beanstalk: Beanstalk Protocol合约中提取资金。首先黑客通过闪电贷换取了3.5亿个DAI、5亿个USDC、1.5亿个USDT、3200万个BEAN和1100万个LUSD作为资金储备。再将这些资金在Curve.fi 对应交易对的交易池中添加为3Crv流动性代币,总量达到9.8亿个。接着用1500万个3Crv兑换成LUSD。又将3Crv代币兑换为BEAN3CRV-f用于投票,把3200万个BEAN和近2700万个LUSD添加流动性,这样就成功得到5900万个BEANLUSD-f流动性代币。

BiKi平台ASKO连续12日上涨,累计涨幅达2665%:据BiKi行情数据显示,截止今日18:50( GMT+8),平台内币种ASKO连续12日上涨,累计涨幅高达2665%,现价0.098719USDT。行情波动较大,请注意风险控制。[2021/2/7 19:09:25]

接着,黑客用BEAN3CRV-f和BEANLUSD-f来对提案发起投票,然后调用emergencyCommit进行紧急提交来执行提案,从而导致提案通过。经过以上一系列的操作,3600万个BEAN、8.75亿个BEAN3CRV-f、6000万个BEANLUSD-f以及0.54个UNI-V2,通过Beanstalk: Beanstalk Protocol合约转入了攻击合约。最后黑客将流动性移除并归还闪电贷,把多余的代币兑换为近2.5万个ETH持续转移至Tornado.Cash。

交易详细信息如图所示:

ETH被分批发送到 Tornado.Cash :

Armors安全在此提醒:

首先,还是要对项目代码的安全审计提高重视,建议找行业内正规的安全公司进行全方位的代码审计,并定期检查更新,可使用实时的安全监测服务,避免出现安全风险。其次,项目方应避免使用账户的当前资金余额来统计投票数量,投票所用资金应在合约中设定锁定时间,避免出现可能的反复投票或使用闪电贷进行投票。对于恶意提案,项目方和社区应提高关注度及警惕性,可考虑禁止合约地址参与投票,并设立预警机制,对于恶意提案,需及时作出预警和处理,禁止恶意提案的投票通过和执行。

Armors安全机构成立于2017年,是行业最早成立的专业区块链安全机构之一。Armors是Polygon、BSC、Ethereum、Solana等公链审计合作伙伴,已为超过2000家区块链平台、交易所、钱包、DApp等机构和项目提供安全审计、渗透测试、跨链迁移、平台安全等各方面保障及服务。成立以来,Armors已为客户挽回超过32000个BTC的资产损失。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

NEARTwitter的命运指向Web3

币圈大佬越来越“猖狂”,前有“华人首富”赵长鹏买下福布斯,后有全球首富马斯克收购Twitter。 前者是美国首屈一指的商业媒体,后者则是全球最大的社交媒体巨头之一。虽然这两家公司的属性不一样,但在广义上都属于媒体,掌控了他们,就掌握了“大规模布道”的权力。

LTC金色观察|上线2天地板价20ETH Moonbirds发迹史

周末两天,圈内都在关注一个项目——Moonbirds。 4月16日以 2.5ETH 的价格正式公开发售,共7875枚,几小时内售罄,按照 ETH 美元价格计算,本次销售募集到的资金约为 6600 万美元,据悉,100% 的收益直接捐给True Ventures支持的 web3 媒体公司PROOF Holdings Inc; 4月17日,24 小时交易量。

XLM数字人民币子钱包支持商户达58个 “母子钱包”模式会有更多可能

移动支付网消息:4月6日,京东数据显示,自2020年12月接入数字人民币试点截至目前,京东线上已绑定子钱包超350万个,超200万人进行了330万笔数字人民币交易,累计交易金额超2.2亿。 美团数据显示,截至2022年3月6日,超300万个数字人民币子钱包被推送至美团App,超250万用户在美团用数字人民币消费。

Bitcoin金色趋势丨BTC下跌中继还是蓄势待发?

上图为BTC周线和MA50、100和200均线走势,可以发现目前BTC周线已跌破50均线支撑,前期反弹未能突破站稳,我们知道50周均线在BTC一轮牛市进程中起到关键作用,一旦有效跌破往往意味着这一轮牛市的结束。

[0:15ms0-6:509ms