以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > 火必 > Info

黑客攻擊事件 算法穩定幣項目Beanstalk Farms被盜損失達1.82億美元_BEA

Author:

Time:1900/1/1 0:00:00

2022年4月17日,算法穩定幣項目Beanstalk DAO遭受黑客攻擊,損失已達1.82億美元,包括7900多萬BEAN3CRV-f、163萬BEANLUSD-f、3600萬BEAN和0.54個UNI-V2_WETH_BEAN。啟動入侵的初始資金已被撤回至Synapse Protocol,且大部分收益都被存入Tornado.cash。目前,該項目穩定幣BEAN價格已經從約1美元跌至0.136美元,跌幅達86%。

BeanStalk是一個分散的基于信用的穩定幣協議。該協議由三個相互連接的組件組成:去中心化價格預言機、去中心化治理系統和去中心化信貸工具。根據該項目的白皮書介紹,BeanStalk使用動態掛鉤維護機制,定期將1Bean(Beanstalk ERC-20標準穩定幣)的價格超過其價值掛鉤,而無需集中化或抵押要求。

Gate.io:網傳資產清單只是部分資產,用戶也未在黑客攻擊下遭受損失:金色財經報道,針對今日“鏈上分析師ZachXBT披露加密交易所Gate.io曾在2018年4月21日被朝鮮黑客盜取了2.3億美元,至今未向客戶公布”一事,Gate.io對金色財經獨家回應稱,根據美國相關部門的調查2018年有數家知名平臺受到黑客攻擊,但Gate.io的用戶并未在此次攻擊中遭受任何損失。Gate.io從2020年開始進行100%保證金審計,到今年是第二次進行用戶資產審計了。此外,網傳的資產清單里面只是Gate.io部分熱錢包的少量資產。

除此之外,Gate.io在以下單個地址就有14萬ETH,和價值2億美元的Token。地址(0xC882b111A75C0c657fC507C04FbFcD2cC984F071)[2022/11/15 13:08:04]

此次攻擊事件距離Axie Infinity 遭到黑客攻擊損失6.25億美元還不到一個月時間,Beanstalk受到了巨大的損失。這次的黑客攻擊或源于前一天通過的BIP18,BIP18導致使用治理特權來抽干資金池的精心設計的代碼來執行,黑客利用了Beanstalk的“投票合約中的票數是根據賬戶中的代幣持有量來得到的”這一閃電貸漏洞完成了這次的攻擊,并將獲利的部分USDC轉入了烏克蘭加密捐贈地址。

動態 | EOS競猜游戲SKR EOS凌晨遭黑客攻擊:今日凌晨00:01-01:31之間,PeckShield安全盾風控平臺DAppShield監測到黑客向EOS競猜類游戲SKR EOS發起連續攻擊,獲利近六千個EOS。PeckShield安全人員初步研究發現,黑客利用游戲服務器解析參數問題,使得投注未中獎的EOS可被退回,進而實現百分百投注中獎。PeckShield安全人員在此提醒,開發者應在合約上線前做好安全測試,特別是要排除已知攻擊手段的威脅,必要時可尋求第三方安全公司協助,幫助其完成合約上線前攻擊測試及基礎安全防御部署。[2019/10/11]

下面Armors Company Limited來具體分析一下黑客的攻擊過程。

動態 | 高級APT攻擊頻現 多家數字貨幣交易所成為黑客攻擊目標:據降維安全實驗室(johnwick.io)報道,近日高級黑客團隊甚至國家級黑客組織再度活躍,多家數字貨幣交易所遭到針對性的APT攻擊,具體資產損失尚在統計中。據悉,自年初起至今已有數家交易所遭到高級APT攻擊造成巨額資產損失,主要原因在于對外服務人員的安全意識缺失。降維安全專家表示針對APT攻擊可采取以下防御措施:1、做好內網網段隔離。2、對外服務人員進行內外網物理機隔離。3、使用成熟有效的陷阱類安全防御產品,e.g.面壁人陷阱防御系統。4、可采用有針對性的滲透測試,對交易所網站和客服進行安全檢查。[2019/8/30]

黑客從攻擊的前一天發起了交易提案,提案通過以后將會從Beanstalk: Beanstalk Protocol合約中提取資金。首先黑客通過閃電貸換取了3.5億個DAI、5億個USDC、1.5億個USDT、3200萬個BEAN和1100萬個LUSD作為資金儲備。再將這些資金在Curve.fi 對應交易對的交易池中添加為3Crv流動性代幣,總量達到9.8億個。接著用1500萬個3Crv兌換成LUSD。又將3Crv代幣兌換為BEAN3CRV-f用于投票,把3200萬個BEAN和近2700萬個LUSD添加流動性,這樣就成功得到5900萬個BEANLUSD-f流動性代幣。

聲音 | 趙長鵬回應網友:黑客攻擊技巧很可能首先在幣安嘗試并被成功阻止:有推特網友轉發關于Coinbase曾在5月成功阻止一次黑客攻擊的推文并讓幣安“記筆記”。對此,趙長鵬回應稱:記下了。每筆交易每天都伴隨多次黑客攻擊企圖。FireFox的問題同樣適用于所有交易所。您還可以非常肯定地說,如果有黑客攻擊技巧在任何交易所上進行嘗試,它很可能首先在幣安進行并已經被阻止了。[2019/8/10]

接著,黑客用BEAN3CRV-f和BEANLUSD-f來對提案發起投票,然后調用emergencyCommit進行緊急提交來執行提案,從而導致提案通過。經過以上一系列的操作,3600萬個BEAN、8.75億個BEAN3CRV-f、6000萬個BEANLUSD-f以及0.54個UNI-V2,通過Beanstalk: Beanstalk Protocol合約轉入了攻擊合約。最后黑客將流動性移除并歸還閃電貸,把多余的代幣兌換為近2.5萬個ETH持續轉移至Tornado.Cash。

交易詳細信息如圖所示:

ETH被分批發送到 Tornado.Cash :

Armors安全在此提醒:

首先,還是要對項目代碼的安全審計提高重視,建議找行業內正規的安全公司進行全方位的代碼審計,并定期檢查更新,可使用實時的安全監測服務,避免出現安全風險。其次,項目方應避免使用賬戶的當前資金余額來統計投票數量,投票所用資金應在合約中設定鎖定時間,避免出現可能的反復投票或使用閃電貸進行投票。對于惡意提案,項目方和社區應提高關注度及警惕性,可考慮禁止合約地址參與投票,并設立預警機制,對于惡意提案,需及時作出預警和處理,禁止惡意提案的投票通過和執行。

Armors安全機構成立于2017年,是行業最早成立的專業區塊鏈安全機構之一。Armors是Polygon、BSC、Ethereum、Solana等公鏈審計合作伙伴,已為超過2000家區塊鏈平臺、交易所、錢包、DApp等機構和項目提供安全審計、滲透測試、跨鏈遷移、平臺安全等各方面保障及服務。成立以來,Armors已為客戶挽回超過32000個BTC的資產損失。

Tags:BEAUSDSTATALKBeacon ETHiusd幣價格ASTAX價格Ghost Talk

火必
NFT也開始內卷了?_NFT

入場券難求。 2021年可謂是NFT的元年,Uniswap一雙襪子賣16萬美元,推特創始人五個單詞拍出250萬美元,這一切都讓人覺得不可思議.

1900/1/1 0:00:00
頭像類NFT的藍籌共性:品牌敘事 社區賦能_NFT

根據NFTGO數據平臺顯示,截至4月15日,NFT資產總市值已經達到198億美元,NFT持有地址數約208萬個,近7日的交易量為11.8億美元.

1900/1/1 0:00:00
BSC的GameFi生態獲得了用戶 但未能留住用戶_BSC

2021 年 8 月至 12 月 6 日期間,BSC 的 Play to Earn 鏈游推動了該鏈上用戶數大幅增長.

1900/1/1 0:00:00
「X to Earn」狂歡 真的萬物均可 to Earn 嗎?_EARN

基于 Play to Earn(P2 E)的經濟模型,衍生出來 Move to Earn,也引發了各種 X to Earn 的狂歡.

1900/1/1 0:00:00
穩定幣的危與機:讓公鏈加速死亡的催化劑、取代BTC的超級機會_穩定幣

所有的勝利,都是來自對信仰的堅持。相信相信的力量,這里從未讓你我失望。歡迎關注星空價值投資,總要有人,仰望星空.

1900/1/1 0:00:00
Verse協議:一個優化NFT流動性的奇妙構思_NFT

2021被稱作是NFT元年,NFT也被認為是Crypto開啟出圈之路的載體,由此可見NFT迅猛的發展勢頭以及在整個Crypto生態中的重要地位.

1900/1/1 0:00:00
ads