加密版無損「倒信用卡」獲利百萬美元，FEG閃電貸攻擊事件分析-ODAILY_QUO

北京時間2022年5月16日凌晨4:22:49，CertiK安全技術團隊監測到FEG在以太坊和BNB鏈上遭受大規模閃電貸攻擊，導致了價值約130萬美元的資產損失。

此攻擊是由“swapToSwap()”函數中的一個漏洞造成的，該函數在未對傳入參數進行篩查驗證的情況下，直接將用戶輸入的"path"作為受信任方，允許未經驗證的"path"參數來使用當前合約的資產。

因此，通過反復調用"depositInternal()"和"swapToSwap()"，攻擊者可獲得無限制使用當前合約資產的許可，從而盜取合約內的所有資產。

價值約44,439,555美元的ETH轉移至加密交易所Coinbase:金色財經報道，WhaleAlert監測顯示，23,791枚ETH（價值約44,439,555 美元）從未知錢包轉移到加密交易所Coinbase。[2023/7/9 22:26:36]

受影響的合約地址之一：https://bscscan.com/address/0x818e2013dd7d9bf4547aaabf6b617c1262578bc7

漏洞交易

漏洞地址:https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c

漏洞交易樣本：https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063

Visa CEO：加密貨幣可能會變得“非常流行”:9月14日消息，Visa首席執行官Alfred Kelly在播客節目“Leadership Next”中討論加密貨幣的未來。Kelly表達了他對加密貨幣在未來五年發展的想法，認為加密貨幣可能會變得“非常流行”。另一方面，Kelly認為加密貨幣可能非常成功，但也可能以失敗告終。他解釋說，盡管加密貨幣可能不會走向任何地方，但Visa希望走在它前面。

在解釋未來五年加密貨幣可能發生的事情時，Kelly表示，“我不知道加密貨幣會發展到什么程度。假設在五年內，這是一種時尚，沒什么大不了的；還是說它會非常受歡迎？我不夠聰明，無法知道；但我足夠聰明的做法是確保我們的公司今天處于其中。”

Kelly表示，比特幣被視為黃金的數字繼承者。因此，該公司正在努力實現加密貨幣的購買和轉換。Visa計劃使其客戶能夠無縫地將加密貨幣轉換為法定貨幣。凱利解釋說，該公司還專注于使用加密貨幣轉移現金，而不僅僅是用于支付。（Bitcoinist）[2021/9/14 23:23:00]

被盜資金追蹤：https://debank.com/profile/0x73b359d5da488eb2e97990619976f2f004e9ff7c/history

日本加密貨幣交易所Zaif將恢復手機錢包應用:日本加密貨幣交易所Zaif于3月27日宣布將重新推出手機錢包應用程序，但具體推出時間還沒公布。據悉，Zaif于2017年開始提供iOS和Android錢包應用程序，但2018年9月發生欺詐性信息泄露后，Zaif于同年10月暫停了其錢包應用。（Crypto Watch）[2020/3/30]

相關地址

攻擊者地址：https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c

攻擊者合約：https://bscscan.com/address/0x9a843bb125a3c03f496cb44653741f2cef82f445

FEG代幣地址：https://bscscan.com/token/0xacfc95585d80ab62f67a14c566c1b7a49fe91167

聲音 | 波蘭國際事務研究所研究員：加密貨幣給當前國際經濟和體系帶來了挑戰:據中國社會科學報消息，波蘭國際事務研究所官網近日刊發了該研究所研究員Damian Wnukowski的研究《作為國家經濟政策工具的加密貨幣：挑戰與機遇》。該研究討論了當下與未來加密貨幣與國家經濟政策之間的關系。Wnukowski表示，加密貨幣的分散支付系統目前大多獨立于國家機構控制。然而，一些國家出于低成本和交易速度的考慮，對創建自己的加密貨幣頗感興趣。加密貨幣，包括計劃中的CBDC給當前國際經濟和體系帶來了挑戰，它們可能會繞過國際支付系統。一些國家的央行開發CBDC，也可能是為了加強對資本和社會流動的總體控制。[2019/3/13]

FEGWrappedBNB(fBNB):https://bscscan.com/address/0x87b1acce6a1958e522233a737313c086551a5c76#code

摩根大通任命加密資產戰略主管:全球投資銀行巨頭摩根大通今日宣布任命29歲的銀行前金融技術主管Oliver Harris擔任加密資產戰略主管。他的新任命將使他探索在這家金融機構中使用數字貨幣的問題。這將涉及分析實施區塊鏈技術和數字貨幣本身的風險和回報。[2018/5/18]

攻擊步驟

以下攻擊流程基于該漏洞交易：https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063

①攻擊者借貸915WBNB，并將其中116BNB存入fBNB。

②攻擊者創建了10個地址，以便在后續攻擊中使用。

③攻擊者通過調用"depositInternal()"將fBNB存入合約FEGexPRO。

根據當前地址的余額，"_balances2"被增加。

④攻擊者調用了"swapToSwap()"，路徑參數是之前創建的合約地址。

該函數允許"path"獲取FEGexPRO合約的114fBNB。

⑤攻擊者反復調用"depositInternal()"和"swapToSwap()"，允許多個地址獲取fBNB代幣，原因如下：

每次"depositInternal()"被調用，_balance2將增加約114fBNB。

每次"swapToSwap()"被調用，攻擊者所創建合約能獲取該114fBNB的使用權限。

⑥由于攻擊者控制了10個地址，每個地址均可從當前地址花費114個fBNB，因此攻擊者能夠盜取被攻擊合約內的所有fBNB。

⑦攻擊者重復步驟④⑤⑥，在合約內耗盡FEG代幣。

⑧最后攻擊者出售了所有耗盡的資產，并償還閃電貸款，最終獲取了其余利潤。

資產去向

截至2022年5月16日6:43，被盜資金仍存儲在以太坊和BSC鏈上的攻擊者錢包中。

原始資金來自以太坊和BSC的Tornadocash：https://etherscan.io/tx/0x0ff1b86c9e8618a088f8818db7d09830eaec42b82974986c855b207d1771fdbe

https://bscscan.com/tx/0x5bbf7793f30d568c40aa86802d63154f837e781d0b0965386ed9ac69a16eb6ab

攻擊者攻擊了13個FEGexPRO合約，以下為概覽：

寫在最后

本次攻擊事件本可通過安全審計來有效地避免。

CertiK安全專家認為審計過程中可以檢查出該風險——不受信任的"path"參數被傳遞到協議中，并獲取合約資產支出的權限。審計專家會將該風險歸類于主要風險級別，此外，如果進行更深層次的挖掘，還可列明被利用的多種可能。

Tags：QUO加密貨幣BNBTPSQuotient加密貨幣是不是騙局一起bnb能推幾個tps幣圈

PEPE幣