BEA:黑客攻击事件 算法稳定币项目Beanstalk Farms被盗损失达1.82亿美元

2022年4月17日，算法稳定币项目BeanstalkDAO遭受黑客攻击，损失已达1.82亿美元，包括7900多万BEAN3CRV-f、163万BEANLUSD-f、3600万BEAN和0.54个UNI-V2_WETH_BEAN。启动入侵的初始资金已被撤回至SynapseProtocol，且大部分收益都被存入Tornado.cash。目前，该项目稳定币BEAN价格已经从约1美元跌至0.136美元，跌幅达86%。

BeanStalk是一个分散的基于信用的稳定币协议。该协议由三个相互连接的组件组成：去中心化价格预言机、去中心化治理系统和去中心化信贷工具。根据该项目的白皮书介绍，BeanStalk使用动态挂钩维护机制，定期将1Bean的价格超过其价值挂钩，而无需集中化或抵押要求。

BlockSec：Quaternion因QTN代币开发者使用错误条件而被黑客攻击，损失约2.546枚WETH:1月18日消息，BlockSec监测显示，NFT全栈B2B B2C服务供应商Quaternion因QTN代币开发者使用错误条件而被黑客攻击，损失约2.546枚WETH。QTN代币具有通货膨胀机制，随着QTN在Uniswap中的交易增多，QTN的总量也会随之增加。但是，QTN的开发者使用from == UniswapPair来判断是否有QTN出售，这一错误条件是导致此攻击的根本原因。BlockSec提醒注意，黑客的资金来源似乎来自BSC上的Ankr Exploiter。[2023/1/18 11:19:14]

此次攻击事件距离AxieInfinity遭到黑客攻击损失6.25亿美元还不到一个月时间，Beanstalk受到了巨大的损失。这次的黑客攻击或源于前一天通过的BIP18，BIP18导致使用治理特权来抽干资金池的精心设计的代码来执行，黑客利用了Beanstalk的“投票合约中的票数是根据账户中的代币持有量来得到的”这一闪电贷漏洞完成了这次的攻击，并将获利的部分USDC转入了乌克兰加密捐赠地址。

SpiritSwap：AWS上前端服务器被黑客攻破并篡改参数，被盗1.8万美元:5月14日消息，Fantom生态去中心化交易协议SpiritSwap发推表示，放在AWS上的前端服务器被黑客攻破，网站被篡改参数，目前被盗1.8万美元。协议宣布更新之前，请不要与网站互动。[2022/5/14 3:15:38]

下面ArmorsCompanyLimited来具体分析一下黑客的攻击过程。

黑客从攻击的前一天发起了交易提案，提案通过以后将会从Beanstalk:BeanstalkProtocol合约中提取资金。首先黑客通过闪电贷换取了3.5亿个DAI、5亿个USDC、1.5亿个USDT、3200万个BEAN和1100万个LUSD作为资金储备。再将这些资金在Curve.fi对应交易对的交易池中添加为3Crv流动性代币，总量达到9.8亿个。接着用1500万个3Crv兑换成LUSD。又将3Crv代币兑换为BEAN3CRV-f用于投票，把3200万个BEAN和近2700万个LUSD添加流动性，这样就成功得到5900万个BEANLUSD-f流动性代币。

HyperPay钱包参加GISEC全球网络安全大会 接受黑客攻防测试:据官方消息，日前，HyperPay钱包成为阿联酋网络安全委员会漏洞赏金计划的创始伙伴，并参加3月20-23日的GISEC全球网络安全大会，HyperPay钱包正在现场接受来自黑客的攻防测试，并提供漏洞奖金。GISEC全球网络安全大会是世界规模最大、影响最大的网络安全活动，寻求建立其与全球信息安全社区、企业领导人、政府的最终用户和网络安全解决方案。HyperPay钱包成立于2017年，是集托管理财钱包、去中心化自管钱包、HyperMate硬件钱包、共管钱包于一体的多生态数字资产钱包，为用户提供资产存管、理财增值、消费支付等服务。[2022/3/22 14:11:29]

接着，黑客用BEAN3CRV-f和BEANLUSD-f来对提案发起投票，然后调用emergencyCommit进行紧急提交来执行提案，从而导致提案通过。经过以上一系列的操作，3600万个BEAN、8.75亿个BEAN3CRV-f、6000万个BEANLUSD-f以及0.54个UNI-V2，通过Beanstalk:BeanstalkProtocol合约转入了攻击合约。最后黑客将流动性移除并归还闪电贷，把多余的代币兑换为近2.5万个ETH持续转移至Tornado.Cash。

去中心化组织Badger DAO遭遇黑客攻击，目前已暂停所有交易:12月 2日，据官方 Discord 消息，去中心化组织 Badger DAO 遭遇黑客攻击，用户资产在未经授权的情况下被转移。据开发人员初步清点受损资产后表示，本次事件中已损失 13.6 万枚 bcvxCRV、6.4 万枚 bveCVX、38 枚 ibBTC/sBTC、13 bibBTC/sBTC，以及 19 枚 DIGG。目前已暂停所有交易。[2021/12/2 12:45:58]

交易详细信息如图所示：

ETH被分批发送到Tornado.Cash：

Armors安全在此提醒：

首先，还是要对项目代码的安全审计提高重视，建议找行业内正规的安全公司进行全方位的代码审计，并定期检查更新，可使用实时的安全监测服务，避免出现安全风险。其次，项目方应避免使用账户的当前资金余额来统计投票数量，投票所用资金应在合约中设定锁定时间，避免出现可能的反复投票或使用闪电贷进行投票。对于恶意提案，项目方和社区应提高关注度及警惕性，可考虑禁止合约地址参与投票，并设立预警机制，对于恶意提案，需及时作出预警和处理，禁止恶意提案的投票通过和执行。

Armors安全机构成立于2017年，是行业最早成立的专业区块链安全机构之一。Armors是Polygon、BSC、Ethereum、Solana等公链审计合作伙伴，已为超过2000家区块链平台、交易所、钱包、DApp等机构和项目提供安全审计、渗透测试、跨链迁移、平台安全等各方面保障及服务。成立以来，Armors已为客户挽回超过32000个BTC的资产损失。

标签：BEAUSDSTANSTLINKBEARfsc币usdt币pSTAKE Staked ATOMMNSTRS币

币赢交易所热门资讯