2月10日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,DeFi應用DegoFinance遭到黑客攻擊,UniSwap和PancakeSwap上的DEGO流動性已被耗盡。關于本次攻擊,成都鏈安技術團隊第一時間進行了資金流向分析。
事件概覽
據悉,DegoFinance于2020年9月啟動,以打造可持續性和實用性的NFT生態系統為目標,打造了NFT+DeFi平臺。有人說,在DeFi的世界里,DEGO就相當于樂高。將每一個DeFi協議當作是一塊磚,包括穩定幣(DAI)、借貸?(Aave,Compound)、去中心化交易所DEX(UniswapandBalancer)、衍生品(Synthetix)和保險(NexusMutual)等等。
2月10日,DegoFinance官方推特發布公告稱被黑客攻擊,DeFi世界的樂高就這樣“塌了”!
MetaMask:網傳5000枚ETH因其漏洞被盜不實,但正研究此漏洞來源:4月19日消息,加密錢包Meta Mask引用其開發人員Taylor Monahan的一條不明原因盜幣攻擊長推文(thread)稱,11個鏈上地址被盜超5000枚ETH并非特指是因MetaMask漏洞導致,聲稱MetaMask錢包被黑客入侵的說法是不正確的,正與Web3錢包領域的從業者合作研究此漏洞的來源。[2023/4/19 14:12:29]
本次攻擊涉及多個賬戶地址私鑰泄露,黑客利用私鑰提取了多個鏈上的資產,具體分析請接著往下閱讀。
事件具體分析
安全公司:10萬億枚aBNBc被鑄造,疑似Ankr部署者密鑰被盜:12月2日消息,安全公司Ancilia發推文表示,Web3基礎設施提供商Ankr的部署者密鑰疑似被泄露。10萬億枚aBNBc代幣在tx:0xe367d05e7ff37eb6d0b7d763495f218740c979348d7a3b6d8e72d3b947c86e33中鑄造,并發送到0xf3a4開頭的地址,這些aBNBc代幣正在兌換成USDC和WBNB。隨后,0xf3a4開頭的地址通過Tornado和cBridge轉出資金。[2022/12/2 21:17:30]
我們以ETH鏈上攻擊為例,對Dego項目方其中一個地址的資金流向做了詳細分析。
首先,項目方私鑰泄露的DEGO.Finance:Deployer地址為:
動態 | EOS 花樣競猜疑似被盜幾百個 EOS:據 IMEOS 報道,昨晚(1月1日) 21:30 EOS 花樣競猜疑似被 EOS 賬戶 liuliangyi22 盜取幾百個 EOS,黑客每次下注都中獎,游戲合約使用兩次延遲并取區塊哈希為種子,并無回滾現象,目前游戲合約已凍結,原因正在追查中。[2019/1/2]
0x20FE4B1eD95911487499e53355BB8f14a881D735
攻擊者地址為:
0x118203B0f2A3ef9e749D871C8fEF5e5e55ef5C91
攻擊者通過私鑰,使用minter權限分別向DEGO.Finance:Deployer賬戶和0x118賬戶鑄造了592,582.35個dego代幣。
交易所暫緩推進EOS主網激活 近百萬EOS被盜:據IMEOS消息,EOS主網上線期間大量EOS私鑰被黑客偷走。已經有60多位英文區和韓文區的受害者,中文區的還沒統計。涉及的EOS總數超過百萬,截止目前已經有3個賬號被找回,一個被認領。目前,由EOS42發起,EOSCannon(佳能社區)、EOS紐約、EOSNation、BlockSmith、EOSAmsterdam、EOSNation、EOSRio、EOSDAC節點正在支持處理此事。[2018/6/14]
之后移除ETH-dego交易池的流動性。
攻擊者通過DEGO.Finance:Deployer賬戶移除流動性獲取了269,502個dego代幣和378個ETH。
然后將DEGO.Finance:Deployer賬戶獲取的378個ETH轉給了0x118地址。
同時,該黑客轉移原本屬于項目方地址的441個yvWETH給0x118地址。
此時0x118賬戶上有獲利的750.37個ETH和其他轉入的7.10個ETH一共757.4個。
截止目前發文,在Ethereum鏈上,攻擊者在0x118地址將441個yvWETH轉入Zapper.Fi:YearnyVaultZapOut兌換了445個ETH,獲取共1202個ETH,轉入Tornado.Cash:Proxy400ETH。向0x47a344588653efA88eB6D58433B6A2A5E202D65d地址轉入202個ETH。
在Cronos鏈上,在0x118地址獲取了196256.7個USDT和199401.9個USDCoin,還未轉出。
在BSC鏈上,獲取3736.17個BNB,通過代幣兌換獲取9188個BNB。向0x47a344588653efA88eB6D58433B6A2A5E202D65d地址轉入了12,741個BNB。
三條鏈上0x118地址總計約17,627,676美元,目前,官方稱正在調查原因并試圖挽回損失。
隨著DeFi的不斷發展,DeFi項目的安全問題也愈發緊急。對比于傳統金融,DeFi的底層靠的是智能合約,本質上是程序,程序擁有傳統金融不可比擬的高效性和便捷性,但也存在傳統金融無需考慮的代碼漏洞問題。所以成都鏈安建議大家,對未公開智能合約和審計報告的項目,要保持警惕。
任何在2021納稅年度涉足加密貨幣的美國公民現在都需要向美國國稅局提交納稅申報表。納稅人可以在1月24日至4月18日截止日期之間報稅,逾期提交的將被處以罰款.
1900/1/1 0:00:00跨鏈橋到底為何安全事故頻發?大眾所期望的跨鏈時代能否到來?自DeFi領域開始迅速竄紅后,多鏈互通成為適應發展的必要需求,跨鏈橋也就自然而然的成為了當下市場發展的重心之一.
1900/1/1 0:00:00GameFi的爆火是區塊鏈在項目創新和概念創新方面具有先天優勢的體現,時至今日,GameFi已經成為繼DeFi之后的又一大行業熱詞.
1900/1/1 0:00:00以太坊作為區塊鏈基礎設施地位看起來已不可動搖,但也面臨著費用高、效率低、偏離去中心化初衷等問題。平臺上既得利益群體的形成和固化也逐漸讓革新變得困難.
1900/1/1 0:00:00在微軟與特斯拉先后發布財報后,又一家全球十大上市公司交出了自己的答卷。北京時間1月28日凌晨,蘋果方面發布了截至2021年12月的2022財年第一財季業績報告.
1900/1/1 0:00:00如今一個加密用戶的平均價值為8,000美元,而90年代一個互聯網用戶價值僅為875美元。本文來自?PanteraCapital,原文作者:PanteraCapital創始人DanMorehead.
1900/1/1 0:00:00