2022年4月17日,成都链安链必应-区块链安全态势感知平台舆情监测显示,算法稳定币项目BeanstalkFarms遭黑客攻击,黑客获利近8000万美元,成都链安技术团队第一时间对事件进行了分析,结果如下。
#1事件相关信息
攻击交易
0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7
攻击者地址
0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4
波卡生态智能合约平台Moonbeam宣布第一批生态系统补助金拨款窗口已正式关闭:3月14日消息,波卡生态智能合约平台Moonbeam在社交媒体宣布第一批生态系统补助金拨款窗口已正式关闭,即日起自3月17日社区和拨款委员会将会通过Moonbeam社区论坛提供反馈。
在反馈期结束后,项目团队将在3月19日之前进行整合并完成所有申请调整,社区拨款委员会随后也将在Snapshot启动进行加权社区投票,以决定如何在符合条件的提案之间分配第一笔生态补助金拨款预算。[2023/3/14 13:02:24]
攻击合约
0x79224bC0bf70EC34F0ef56ed8251619499a59dEf
元宇宙聚合平台Beacon Global完成100万美元融资,GD Capital等参投:9月13日消息,一站式元宇宙聚合平台Beacon Global宣布完成100万美元融资,Candaq、RNGX、GD Capital、7 O'Clock Capital、Linden等机构参投。Beacon Global是一个将公会、玩家、游戏开发商、媒体、KOL汇聚在一起的元宇宙流量聚合平台,其业务范围涵盖媒体报道、项目服务、区块链知识教育培训等,涉及GameFi、DeFi、NFT、元宇宙等多个垂直赛道。[2022/9/13 13:25:59]
被攻击合约
基于Moonbeam的IDO Launchpad Beamswap Docks已上线:4月2日消息,Beamswap发推称,一个基于Moonbeam的IDO Launchpad Beamswap Docks现已上线。据介绍,新加入的项目将在一个贡献池中积累资金。用户将能够根据与SHARE持仓绑定的层级贡献最大金额。[2022/4/3 14:01:22]
0xc1e088fc1323b20bcbee9bd1b9fc9546db5624c5
#2攻击流程
1.攻击者从攻击的前一天发起了提案交易,提案通过会提取Beanstalk:BeanstalkProtocol合约中的资金。
2.黑客通过闪电贷换取了350,000,000个DAI,500,000,000个USDC,150,000,000个USDT,32,100,950个BEAN和11,643,065个LUSD作为资金储备。
3.黑客将2步骤的DAI,USDC,USDT资金在Curve.fiDAI/USDC/USDT交易池中添加为979,691,328个3Crv流动性代币,用15,000,000个3Crv换来15,251,318个LUSD。
4.将964,691,328个3Crv代币兑换为795,425,740个BEAN3CRV-f用于投票,将32,100,950个BEAN和26,894,383LUSD添加流动性得到58,924,887个BEANLUSD-f流动性代币。
5.使用4步骤中的BEAN3CRV-f和BEANLUSD-f来对提案进行投票,导致提案通过。从而Beanstalk:BeanstalkProtocol合约向攻击合约转入了36,084,584个BEAN,0.54个UNI-V2,874,663,982个BEAN3CRV-f以及60,562,844个BEANLUSD-f。
6.最后攻击者将流动性移除并归还闪电贷,把多余的代币兑换为24830个ETH转入攻击者账户中。
#3漏洞分析
本次攻击主要利用了投票合约中的票数是根据账户中的代币持有量得到的。
攻击者至少在一天前发起提取Beanstalk:BeanstalkProtocol资金的提案,然后调用emergencyCommit进行紧急提交来执行提案,这个就是攻击者1天之前发起攻击准备的原因所在。
#4资金追踪
截止发文时,攻击者获利22029601个USDC,14742429个DAI,6,603,829个USDT与0.5407个UNI-V2,640224美元的BAEN代币资金近8000万,在攻击时将其中的25万USDC捐赠了乌克兰,之后攻击者将资金转换为ETH并将资金持续向Tornado.Cash转移。
针对本次事件,成都链安技术团队建议:
1.投票所用资金应在合约中锁定一定时间,避免使用账户的当前资金余额来统计投票数量,以避免可能出现的反复投票以及使用闪电贷进行投票;
2.项目方和社区应关注所有提案,如果提案是恶意提案,建议在提案投票期间应及时做出处理措施,将提案废弃,禁止其接受投票以及执行;
3.可考虑禁止合约地址参与投票;此外项目上线前最好进行全面的安全审计,规避安全风险。
亲爱的用户:BitVito已于2022年4月21日14:40完成了本次系统升级,同时恢复了相应交易对的交易功能。感谢您的支持与理解,BitVito将持续为您提供更优质的服务.
1900/1/1 0:00:00尊敬的用户:为给您提供更加丰富的交易品种,BitWell上线RAIFinance现货,详情如下:上线时间:新加坡时间2022年04月21日18:00上线板块:现货交易版块创新区交易对:开通SOF.
1900/1/1 0:00:00本文来自ET,原文作者:ApoorvaMittalOdaily星球日报译者|念银思唐印度加密货币交易所CoinDCX完成1.359亿美元D轮融资.
1900/1/1 0:00:00原文来源:readthegeneralist原文作者:MarioGabriele本文来自FastDaily。投资者、运营者和创始人应该了解的关于Dune的内容:精益经营,坚持不懈.
1900/1/1 0:00:00尊敬的用戶:Hotcoin將於(GMT8)2022年4月18日15:00開放BITC充值、提幣業務.
1900/1/1 0:00:00关于雪梨交易所APP即将进行钱包升级的公告亲爱的PEARCOIN用户:PEARCOIN计划于2022年4月21日11:00-16:30间进行钱包升级,具体完成时间以公告为准.
1900/1/1 0:00:00