2022年4月17日,成都链安链必应-区块链安全态势感知平台舆情监测显示,算法稳定币项目BeanstalkFarms遭黑客攻击,黑客获利近8000万美元,成都链安技术团队第一时间对事件进行了分析,结果如下。
1事件相关信息
攻击交易
0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7
攻击者地址
0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4
攻击合约
0x79224bC0bf70EC34F0ef56ed8251619499a59dEf
被攻击合约
金色晚报 | 12月22日晚间重要动态一览:12:00-21:00关键词:央行、秘鲁、长江、浙商、BitMex
1. 央行副行长:全球稳定币会冲击一国的货币主权。
2. 工商银行行长谷澍:扩大区块链、大数据等金融科技技术在普惠金融领域的应用。
3. CCTV2报道秘鲁超市通过区块链技术提供“放心肉”。
4. 长江大数据中心上线将利用区块链打通长江各类数据。
5. 数字资产研究院常务副院长:全国3万多家区块链企业,96%未真实开展业务。
6. 浙商产业区块链促进联盟成立,将推动区块链知识普及和产业落地。
7. BitMEX首席执行官:相信比特币将在2020年继续重新崛起和蓬勃发展。
8. 比特币日内窄幅震荡,最高涨至7200美元,最低跌至7119.47美元。[2019/12/22]
0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5
金色晚报 | 12月19日晚间重要动态一览:12:00-21:00关键词:上海、井贤栋、国家电网、安永、Libra
1. 上海市地方金融监督管理条例(草案):市地方金融监管部门应当推动区块链等技术在监管平台的运用。
2. 井贤栋致全员信:相信区块链等数字技术可以解决信任难题。
3. 威海经区关于防范“虚拟货币”非法活动的风险提示。
4. 国家电网发布区块链技术应用十大场景。
5. 阿里巴巴链上公益计划首例区块链自动拨付成功完成。
6. 安永发布第三代零知识证明区块链技术 可通过批量处理降低交易成本。
7. 经济学家刘志毅:明年会成为区块链产业化的元年。
8. 恒生电子推出四款区块链产品。
9. Libra协会成员:尽管战略并未敲定 但Libra将在2020年推出。[2019/12/19]
2攻击流程
金色晨讯 | IMF: 建议央行考虑让稳定币提供商获得其储备金 Facebook COO将出席众议院Libra听证会:1.欧盟区块链观察站:欧盟应统一区块链法律并利用区块链作为监管工具。
2.欧洲央行行长:稳定币和加密货币无法成为合适的货币替代品。
3.国际货币基金组织: 建议央行考虑让稳定币提供商获得其储备金。
4.俄罗斯银行协会(ABR)提议对加密货币挖矿征税。
5.欧洲央行正在研究加密资产和稳定币,以促进金融创新。
6.段新星离职比原链,朗豫担任比原链 CEO,朱益祺担任比原链 CTO。
7.韩国釜山市计划发行基于区块链技术债券。
8.Facebook COO将于10月出席美国众议院Libra听证会。
9.摩根溪CEO:比特币就像亚马逊股票一样,不会出售比特币。
10.美国SEC已投票决定建立一个明确的ETF框架,未涉及比特币ETF。[2019/9/28]
1.攻击者从攻击的前一天发起了提案交易,提案通过会提取Beanstalk:BeanstalkProtocol合约中的资金。
金色财经现场报道 区块链创业学院院长沈大海:好的区块链项目一定能落地:金色财经现场报道,在4月3日举办的2018年世界区块链峰会现场,区块链创业学院院长沈大海表示:“现在的项目如果认为是好项目,有这样几点:第一点,项目本身有团队、有目标,这个项目确实有应用场景,而不是硬要去使用区块链,因为很多行业它是不适合区块链的也要去建立联系。所以第一个是要有应用场景。另外一点,区块链参与的多方能够产生交易。也就是说如果区块链没有频繁的交易,就不是好的项目。还有就是这个区块链有大量的社群,有用户。这几点如果不具备的话,肯定就不是一个好的项目,甚至都不是一个区块链项目。因此在今天来看,好的区块链项目一定是能够落地,能够应用。”[2018/4/3]
2.黑客通过闪电贷换取了350,000,000个DAI,500,000,000个USDC,150,000,000个USDT,32,100,950个BEAN和11,643,065个LUSD作为资金储备。
3.黑客将2步骤的DAI,USDC,USDT资金在Curve.fiDAI/USDC/USDT交易池中添加为979,691,328个3Crv流动性代币,用15,000,000个3Crv换来15,251,318个LUSD。
4.将964,691,328个3Crv代币兑换为795,425,740个BEAN3CRV-f用于投票,将32,100,950个BEAN和26,894,383LUSD添加流动性得到58,924,887个BEANLUSD-f流动性代币。
5.使用4步骤中的BEAN3CRV-f和BEANLUSD-f来对提案进行投票,导致提案通过。从而Beanstalk:BeanstalkProtocol合约向攻击合约转入了36,084,584个BEAN,0.54个UNI-V2,874,663,982个BEAN3CRV-f以及60,562,844个BEANLUSD-f。
6.最后攻击者将流动性移除并归还闪电贷,把多余的代币兑换为24830个ETH转入攻击者账户中。
3漏洞分析
本次攻击主要利用了投票合约中的票数是根据账户中的代币持有量得到的。
攻击者至少在一天前发起提取Beanstalk:BeanstalkProtocol资金的提案,然后调用emergencyCommit进行紧急提交来执行提案,这个就是攻击者1天之前发起攻击准备的原因所在。
4资金追踪
截止发文时,攻击者获利22029601个USDC,14742429个DAI,6,603,829个USDT与0.5407个UNI-V2,640224美元的BAEN代币资金近8000万,在攻击时将其中的25万USDC捐赠了乌克兰,之后攻击者将资金转换为ETH并将资金持续向Tornado.Cash转移。
针对本次事件,成都链安技术团队建议:
1.投票所用资金应在合约中锁定一定时间,避免使用账户的当前资金余额来统计投票数量,以避免可能出现的反复投票以及使用闪电贷进行投票;
2.项目方和社区应关注所有提案,如果提案是恶意提案,建议在提案投票期间应及时做出处理措施,将提案废弃,禁止其接受投票以及执行;
3.可考虑禁止合约地址参与投票;此外项目上线前最好进行全面的安全审计,规避安全风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。