卷土重来?黑客获利约130万美元 FEGexPRO合约被攻击事件分析

2022年5月16日,成都链安链必应-区块链安全态势感知平台舆情监测显示,Ethereum和BNB Chain上FEGtoken项目的FEGexPRO合约遭受黑客攻击,黑客获利约3280?BNB?以及144 ETH,价值约130万美元。成都链安技术团队对事件进行了分析,结果如下。

事件相关信息

本次攻击事件包含多笔交易,部分交易信息如下所示:

攻击交易?(部分)

0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063?(BNB Chain)

FTX新管理团队:目前为止已恢复约70亿美元流动资产:金色财经报道,FTX新管理团队表示,在保护资产方面已经取得了实质性进展,到目前为止已经恢复了约70亿美元的流动资产。

此前消息,根据该团队周一发布的报告,在去年申请破产时,FTX交易所欠下客户大约87亿美元。[2023/6/27 22:02:06]

0x1e769a59a5a9dabec0cb7f21a3e346f55ae1972bb18ae5eeacdaa0bc3424abd2?(Ethereum)

攻击者地址

0x73b359d5da488eb2e97990619976f2f004e9ff7c

攻击合约

0x9a843bb125a3c03f496cb44653741f2cef82f445

XRP律师:Ripple与SEC的诉讼可能会受到LBRY案的影响:金色财经报道,XRP律师Jeremy Hogan要求XRP社区留意LBRY案的最新进展,因为在Ripple案中可能会出现一个潜在的场景,这可能会影响 Ripple与SEC的诉讼。

据悉,LBRY已提交一份补充简报,LBRY在其补充简报中表示,其重点一直是寻求LBRY代币 (LBC) 使用的明确性,包括明确LBC本身不是证券。 然而,美国证券交易委员会拒绝提供这样的明确性,现在寻求一项既不具体也不明确的广泛禁令。[2023/5/28 9:46:21]

被攻击合约(部分)

0x818e2013dd7d9bf4547aaabf6b617c1262578bc7?(BNB Chain)

0xf2bda964ec2d2fcb1610c886ed4831bf58f64948 (Ethereum)

安全团队:发现假冒的Uniswap x DOH空投钓鱼网站,请勿与之交互:金色财经报道,据CertiK监测,发现假冒的Uniswap x DOH空投钓鱼网站,不要与hxxps://uniswapdoh.com/ 互动。该网站会在用户点击认领按钮时扫描其钱包。[2023/4/22 14:20:33]

Ethereum和BNB Chain上使用攻击手法相同,以下分析基于BNB Chain上攻击:

1. 攻击者调用攻击合约(0x9a84...f445)利用闪电贷从DVM合约(0xd534...0dd7)中借贷915.84 WBNB,然后将116.81 WBNB兑换成115.65 fBNB为后续攻击做准备。

数据:持有超过0.01枚ETH的地址创历史新高:金色财经报道,Glassnode数据显示,持有超过0.01枚ETH的地址为23,516,993个,创历史新高。[2023/4/2 13:40:08]

2. 攻击者利用攻击合约创建了10个合约,为后续攻击做准备。

3. 攻击者接下来将兑换得到的fBNB代币抵押到FEGexPRO合约(0x818e...8bc7)中。

4. ?然后攻击者重复调用depositInternal和swapToSwap函数,让FEGexPRO合约授权fBNB给之前创建好的其他攻击合约。

迪拜金管局在迪拜国际金融中心经济特区施行“加密代币制度”:11月3日消息,迪拜金融服务管理局(DFSA)近日宣布,其加密代币制度已在迪拜国际金融中心(DIFC)经济特区生效,过渡期为六个月。新制度建立在 2021 年 10 月在 DIFC 推出的“投资代币监管”基础上。代币必须遵循既定的申请流程得到 DFSA 的许可,才能在 DIFC 中使用,稳定币或法定加密代币需要满足额外要求。(Cointelegraph)[2022/11/3 12:13:48]

5. ?然后利用其他攻击合约调用transferFrom函数将FEGexPRO合约中fBNB全部转移到攻击合约(0x9a84...f445)中。

6. 接下来又在LP交易对合约(0x2aa7...6c14)中借贷31,217,683,882,286.007211154 FEG代币和423 WBNB。

7. 然后重复3、4、5步骤的攻击手法,将FEGexPRO合约中大量FEG代币盗取到攻击合约中。

8. 然后归还闪电贷,将获得的WBNB转入攻击合约中完成此笔攻击。

9. 此后,又利用相同的原理,执行了50余笔相同的攻击,最获利约144 ETH和3280 BNB。

本次攻击主要利用了FEGexPRO合约中swapToSwap函数中path地址可控且合约中未对path地址进行有效性校验的漏洞。由于合约中depositInternal函数中更新用户余额时依赖于合约中当前代币余额,攻击者通过传入一个恶意的path地址,调用swapToSwap函数时合约中代币余额并未发生变化,导致攻击者可以反复重置攻击合约在FEGexPRO合约中记录的代币数量,从而让FEGexPRO合约将自身代币反复授权给攻击者所控制的多个恶意合约。

截止发文时,被盗资金仍在攻击者地址(0x73b3...ff7c)中并未转移。

针对本次事件,成都链安技术团队建议:

项目开发时,应该注意与其他合约交互时可能存在的安全风险,尽量避免将关键参数设置为用户可控。如果业务需求如此,则需要严格判断用户输入的参数是否存在风险。此外建议项目上线前选择专业的安全审计公司进行全面的安全审计,规避安全风险。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

LTC“无聊猿”之后 下一个明星团宠是谁?

引言:据欧科云链链上大师发布的《2021年度数据报告》,2021年NFT全年交易总额达到171.75亿美元,与2020年的1.30亿美元相比,环比增长131倍。进入2022年,NFT市场依然延续着去年的热度.

火币交易所NFT 2.0: 下一代的NFT将是精简且值得信赖的NFT

非同质化代币(NFT)近年来一直是头条新闻。当很多人试图弄清楚NFT存在的原因时,其需求已经飙升,机构已经建立,这个术语已经进入我们的集体意识。然而,有一个显而易见的问题:NFT很难使用,而且其中大多数都是欺诈.

酷币晚间必读5篇 | 从链上数据看加密行情的新变化

1.金色观察 | 从链上数据看加密行情的新变化最新数据显示,“加密市场崩盘”词条正在全球范围内主导谷歌搜索趋势。此外,诸多链上数据指标也在发生变化,对相关数据的查询及分析能帮助市场投资者了解加密行情的新变化.

[0:15ms0-2:650ms