EasyFi密钥泄漏事件分析

去年4月19日,Layer2DeFi借贷协议EasyFi创始人兼CEOAnkittGaur称,「有大量EASY代币从EasyFi官方钱包大量转移到以太坊网络和Polygon网络上的几个未知钱包。有人攻击了管理密钥或助记词。黑客成功获取了管理员密钥,并从协议池中以USD/DAI/USDT形式转移了600万美元的现有流动性资金,并将298万枚EASY代币转移到了疑似黑客的钱包中。」

SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

40余省市区发布120余项元宇宙扶持政策:4月13日消息,据不完全统计发现,目前全国已有40余省市区政府发布120余项元宇宙建设规划和扶持政策,助推元宇宙与各行业的深度融合。2022年6月底,《上海市培育“元宇宙”新赛道行动方案(2022~2025年)》发布。这是全国第一次从省级层面印发的元宇宙专项行动计划。北京希望在3年内将城市副中心通州区打造成以文旅内容为特色的元宇宙应用示范区,培育、引进100家以上的元宇宙生态链企业,形成30项以上的应用场景项目。广州发布了粤港澳大湾区首个“元宇宙10条”。[2023/4/14 14:02:32]

攻击分析

Reddit Avatar NFT累计销售额突破900万美元,销售量超3万笔:金色财经报道,据Dune Analytics最新数据显示,Reddit Avatar NFT累计销售额已突破 900 万美元,本文撰写时为9,036,151美元,NFT 销售总量超3万笔(30,156笔)。此外,Reddit Avatar NFT总数量达到 2,956,618个,持有者总量为 2,869,618 个。[2022/10/29 11:55:29]

???????通过初步分析,ForceDAO合约中的漏洞主要在xFORCE合约代码ForceProfitSharing.sol上。该漏洞令所有人都可以在没有FORCE的时候,铸造xFORCE。然后再将新铸造的xFORCE交换为FORCE

美国CFTC官员:加密货币与2008年金融危机风险相似:10月27日消息,美国商品期货交易委员会委员(CFTC)专员Christy Goldsmith Romero表示,尽管加密货币行业只是整个美国金融体系的一小部分,但“传统金融公司日益增长的兴趣”应该让监管机构注意到即将到来的危险风险。“如果未来加密货币行业与履行关键市场职能的传统金融参与者之间存在更大的关联,金融稳定风险将会增加,并可能上升到系统性风险的水平。”

CFTC技术咨询委员会首席委员Goldsmith Romero表示,正如目前美国其他监管机构所认为的那样,加密货币行业与2008年全球金融危机之前的某些金融元素类似。“加密货币本应摆脱传统金融体系及其所有??脆弱性和脆弱性。然而,今年春天,不受监管的加密市场暴露出与传统金融类似的金融稳定风险的脆弱性,这些风险与2008年金融危机的主题相似。”(coindesk)[2022/10/27 11:48:13]

1.最迟通过EasyFi项目的官方向中间地址发送了8800000?EASY

华盛顿州金融监管机构寻求加入Celsius破产案:金色财经报道,加密货币借贷平台Celsius的破产案有了一个新的相关方:华盛顿州金融机构管理局。在周四晚间提交的一份动议中,该州助理司法部长Stephen Manning要求以代表华盛顿州金融监管机构的身份加入此案。

此前,华盛顿州、阿拉巴马州、肯塔基州、新泽西州和德克萨斯州的证券监管机构,在Celsius暂停客户赎回后开始对该公司进行调查。(CoinDesk)[2022/9/23 7:15:49]

2.该中间地址分别像两个受害者地址(0x0c08d0fe35515f191fc8f0811cadcfc6b2615b7)(0xf59c2e9d4ab5736a1813738e5aa5c3f5eaf94d9e)发送了2,700,000和2,000,000个EASY。

3.攻击者0x83a2eb63b6cc296529468afa85dbde4a469d8b37利用两受害者的账户向攻击者的账户分别转账了1,035,555.826203866010956193和1,799,990个EASY。交易的记录。

通过检查合约发现,合约中的执行逻辑简单并没有可以利用的漏洞。因此可以判定,这是一次因用户私钥或助记词泄露从而窃取用户虚拟资产

的攻击。

???????在完成攻击获取到大量EASY数字资产后,该攻击者接着在Uniswap中将EASY置换为USDC。

根据整个攻击过程的分析,根本原因在于攻击者可以利用被攻击者的账户地址调用合约,窃取受害者私钥授权合约执行并向攻击者地址进行大额数字资产的转账

安全防范

1、不要随意执行来历不明的二维码和链接;

2、不要泄露自己任何的敏感信息;

3、不截屏或者拍照保存私钥或助记词;

4、不在不安全的环境下使用钱包或者导出私钥、助记词。

来源:金色财经

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

[0:15ms0-2:176ms