黑客攻擊事件 算法穩定幣項目Beanstalk Farms被盜損失達1.82億美元_BEA

2022年4月17日，算法穩定幣項目BeanstalkDAO遭受黑客攻擊，損失已達1.82億美元，包括7900多萬BEAN3CRV-f、163萬BEANLUSD-f、3600萬BEAN和0.54個UNI-V2_WETH_BEAN。啟動入侵的初始資金已被撤回至SynapseProtocol，且大部分收益都被存入Tornado.cash。目前，該項目穩定幣BEAN價格已經從約1美元跌至0.136美元，跌幅達86%。

BeanStalk是一個分散的基于信用的穩定幣協議。該協議由三個相互連接的組件組成：去中心化價格預言機、去中心化治理系統和去中心化信貸工具。根據該項目的白皮書介紹，BeanStalk使用動態掛鉤維護機制，定期將1Bean的價格超過其價值掛鉤，而無需集中化或抵押要求。

Origin稱OUSD黑客攻擊主要由合約中重入漏洞引發:去中心化共享經濟協議OriginProtocol（OGN）聯合創始人MatthewLiu更新關于“穩定幣OUSD遭受攻擊”一事稱，“團隊在采取措施以追回資金，包括與交易所以及其他第三方合作，以識別出黑客地址，并對資金進行凍結。黑客同時使用TornadoCash和renBTC來進行洗錢和轉移資金，目前，黑客錢包中還有7137枚ETH和224.9萬枚DAI。此次攻擊是由合約中的一個重入漏洞（reentrancybug）引發。團隊將在未來幾天內采取措施，試圖彌補用戶資金，還將討論OUSD持有者的補償計劃。”據此前報道，OUSD因此次攻擊事件造成700萬美元損失。Origin提醒稱，“目前已禁用了vault存款，請不要在Uniswap或Sushiswap上購買OUSD。”[2020/11/17 21:03:47]

此次攻擊事件距離AxieInfinity遭到黑客攻擊損失6.25億美元還不到一個月時間，Beanstalk受到了巨大的損失。這次的黑客攻擊或源于前一天通過的BIP18，BIP18導致使用治理特權來抽干資金池的精心設計的代碼來執行，黑客利用了Beanstalk的“投票合約中的票數是根據賬戶中的代幣持有量來得到的”這一閃電貸漏洞完成了這次的攻擊，并將獲利的部分USDC轉入了烏克蘭加密捐贈地址。

聲音 | Jake Chervinsky：KYC使公眾容易受到黑客攻擊，網絡釣魚和身份盜用:據cointelegraph報道，在BitMEX數據泄露后，Compound總法律顧問Jake Chervinsky表示，KYC是一把雙刃劍，KYC幫助執法部門追蹤非法交易，但也使公眾容易受到黑客攻擊，網絡釣魚和身份盜用。現在是我們重新考慮是否值得這樣做的時候了。Chervinsky還承認，他不知道BitMEX使用的識別程序的細節，但他聲稱“使用基于賬戶的模型是KYC的一種形式。”在中央服務器上儲存大量的個人身份信息(PII)會產生嚴重影響。[2019/11/3]

下面ArmorsCompanyLimited來具體分析一下黑客的攻擊過程。

動態 | EOS競猜游戲FASTWIN遭黑客攻擊 損失近700EOS:Beosin成都鏈安態勢感知安全預警：今日下午2:21開始，根據區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現，近期活躍的黑客ju****ang子賬號3ypa****rggff向eos競猜游戲FASTWIN發起攻擊，截止目前已獲利近700eos，且攻擊還在進行。經過技術團隊的初步分析原因是隨機數問題，我們已在第一時間發出預警并聯系項目方。成都鏈安提醒各項目方提高警惕，必要時聯系安全公司進行安全服務，避免不必要的資產損失，同時歡迎各區塊鏈游戲項目方加入鷹眼態勢感知系統，我們將為大家免費提供預警報警服務。[2019/9/6]

黑客從攻擊的前一天發起了交易提案，提案通過以后將會從Beanstalk:BeanstalkProtocol合約中提取資金。首先黑客通過閃電貸換取了3.5億個DAI、5億個USDC、1.5億個USDT、3200萬個BEAN和1100萬個LUSD作為資金儲備。再將這些資金在Curve.fi對應交易對的交易池中添加為3Crv流動性代幣，總量達到9.8億個。接著用1500萬個3Crv兌換成LUSD。又將3Crv代幣兌換為BEAN3CRV-f用于投票，把3200萬個BEAN和近2700萬個LUSD添加流動性，這樣就成功得到5900萬個BEANLUSD-f流動性代幣。

動態 | EOSCast遭遇黑客攻擊 7萬多EOS被黑客轉走:據媒體報道，今日凌晨EOSCast游戲遭遇黑客攻擊，7萬多EOS被黑客轉走。區塊鏈安全公司PeckShield隨即對相關賬號鏈上數據展開深入分析發現，今晨00:15起，黑客“refundwallet”嘗試對EOSCast游戲合約“eoscastdmgb1”實施攻擊，黑客先以“假EOS”攻擊方式進行轉賬攻擊8次，未能得逞，后又采用“假EOS轉賬變種”的方式成功攻擊9次。根據游戲規則，黑客分別以100、1,000、10,000個假EOS展開攻擊，每次攻擊可得到198、9,800、19,600個不等的EOS，在實施最后一次攻擊時，游戲方察覺到異常攻擊，及時轉走了獎金池僅剩的8,000個EOS。最終，黑客共計獲利72,912個EOS，根據EOS當前行情35元估算，EOSCast平臺損失超255萬元。受此影響，EOSCast游戲已緊急下線，據了解，該游戲上線僅10個小時。[2018/10/31]

接著，黑客用BEAN3CRV-f和BEANLUSD-f來對提案發起投票，然后調用emergencyCommit進行緊急提交來執行提案，從而導致提案通過。經過以上一系列的操作，3600萬個BEAN、8.75億個BEAN3CRV-f、6000萬個BEANLUSD-f以及0.54個UNI-V2，通過Beanstalk:BeanstalkProtocol合約轉入了攻擊合約。最后黑客將流動性移除并歸還閃電貸，把多余的代幣兌換為近2.5萬個ETH持續轉移至Tornado.Cash。

交易詳細信息如圖所示：

ETH被分批發送到Tornado.Cash：

Armors安全在此提醒：

首先，還是要對項目代碼的安全審計提高重視，建議找行業內正規的安全公司進行全方位的代碼審計，并定期檢查更新，可使用實時的安全監測服務，避免出現安全風險。其次，項目方應避免使用賬戶的當前資金余額來統計投票數量，投票所用資金應在合約中設定鎖定時間，避免出現可能的反復投票或使用閃電貸進行投票。對于惡意提案，項目方和社區應提高關注度及警惕性，可考慮禁止合約地址參與投票，并設立預警機制，對于惡意提案，需及時作出預警和處理，禁止惡意提案的投票通過和執行。

Armors安全機構成立于2017年，是行業最早成立的專業區塊鏈安全機構之一。Armors是Polygon、BSC、Ethereum、Solana等公鏈審計合作伙伴，已為超過2000家區塊鏈平臺、交易所、錢包、DApp等機構和項目提供安全審計、滲透測試、跨鏈遷移、平臺安全等各方面保障及服務。成立以來，Armors已為客戶挽回超過32000個BTC的資產損失。

Tags：BEAEOSUSDCASADABEAR幣eos幣最新利好消息usdk幣轉賬多久到賬bkcash

比特幣行情