ALK:黑客攻击事件 算法稳定币项目Beanstalk Farms被盗损失达1.82亿美元_BEANS

2022年4月17日,算法稳定币项目Beanstalk DAO遭受黑客攻击,损失已达1.82亿美元,包括7900多万BEAN3CRV-f、163万BEANLUSD-f、3600万BEAN和0.54个UNI-V2_WETH_BEAN。启动入侵的初始资金已被撤回至Synapse Protocol,且大部分收益都被存入Tornado.cash。目前,该项目稳定币BEAN价格已经从约1美元跌至0.136美元,跌幅达86%。

BeanStalk是一个分散的基于信用的稳定币协议。该协议由三个相互连接的组件组成:去中心化价格预言机、去中心化治理系统和去中心化信贷工具。根据该项目的白皮书介绍,BeanStalk使用动态挂钩维护机制,定期将1Bean(Beanstalk ERC-20标准稳定币)的价格超过其价值挂钩,而无需集中化或抵押要求。

研究:2022年Q1共发生78起黑客攻击事件,损失约13亿美元:4月27日消息,根据Atlas VPN团队的新研究,区块链黑客在2022年第一季度的78起攻击事件中窃取了约13亿美元。此外,针对以太坊和Solana生态系统的黑客攻击仅在本季度就造成了超过10亿美元的损失。这些数据来自Slowmist Hacked,该网站收集了公开承认的对区块链项目的攻击信息。

具体而言,在2022年第一季度,以太坊生态系统被黑客攻击了18次,导致近6.36亿美元的损失。本季度最严重的攻击发生在3月底,当时Axie Infinity侧链Ronin Network被黑客攻击,损失高达6.1亿美元。同期,Solana生态系统被黑客攻击了五次,造成3.97亿美元的损失。(Bitcoinist)[2022/4/27 5:14:41]

此次攻击事件距离Axie Infinity 遭到黑客攻击损失6.25亿美元还不到一个月时间,Beanstalk受到了巨大的损失。这次的黑客攻击或源于前一天通过的BIP18,BIP18导致使用治理特权来抽干资金池的精心设计的代码来执行,黑客利用了Beanstalk的“投票合约中的票数是根据账户中的代币持有量来得到的”这一闪电贷漏洞完成了这次的攻击,并将获利的部分USDC转入了乌克兰加密捐赠地址。

Ola Finance:黑客攻击造成约467万美元的损失:4月1日消息,Ola Finance今日对昨日黑客攻击事件发布博客文章,称此次攻击事件损失约为467万美元,具体包括216,964.18 USDC、507,216.68 BUSD、200,000 fUSD、550.45 WETH、26.25 WBTC和1,240,000.00 FUSE。

Ola Finance暂停了所有借贷网络上的借贷,直到漏洞修复,并建议暂时不要偿还贷款。Ola Finance称将在几天内宣布受害者赔偿计划。[2022/4/1 14:31:20]

下面Armors Company Limited来具体分析一下黑客的攻击过程。

声音 | Jake Chervinsky:KYC使公众容易受到黑客攻击,网络钓鱼和身份盗用:据cointelegraph报道,在BitMEX数据泄露后,Compound总法律顾问Jake Chervinsky表示,KYC是一把双刃剑,KYC帮助执法部门追踪非法交易,但也使公众容易受到黑客攻击,网络钓鱼和身份盗用。现在是我们重新考虑是否值得这样做的时候了。Chervinsky还承认,他不知道BitMEX使用的识别程序的细节,但他声称“使用基于账户的模型是KYC的一种形式。”在中央服务器上储存大量的个人身份信息(PII)会产生严重影响。[2019/11/3]

黑客从攻击的前一天发起了交易提案,提案通过以后将会从Beanstalk: Beanstalk Protocol合约中提取资金。首先黑客通过闪电贷换取了3.5亿个DAI、5亿个USDC、1.5亿个USDT、3200万个BEAN和1100万个LUSD作为资金储备。再将这些资金在Curve.fi 对应交易对的交易池中添加为3Crv流动性代币,总量达到9.8亿个。接着用1500万个3Crv兑换成LUSD。又将3Crv代币兑换为BEAN3CRV-f用于投票,把3200万个BEAN和近2700万个LUSD添加流动性,这样就成功得到5900万个BEANLUSD-f流动性代币。

动态 | EOS竞猜游戏SKR EOS凌晨遭黑客攻击:今日凌晨00:01-01:31之间,PeckShield安全盾风控平台DAppShield监测到黑客向EOS竞猜类游戏SKR EOS发起连续攻击,获利近六千个EOS。PeckShield安全人员初步研究发现,黑客利用游戏服务器解析参数问题,使得投注未中奖的EOS可被退回,进而实现百分百投注中奖。PeckShield安全人员在此提醒,开发者应在合约上线前做好安全测试,特别是要排除已知攻击手段的威胁,必要时可寻求第三方安全公司协助,帮助其完成合约上线前攻击测试及基础安全防御部署。[2019/10/11]

接着,黑客用BEAN3CRV-f和BEANLUSD-f来对提案发起投票,然后调用emergencyCommit进行紧急提交来执行提案,从而导致提案通过。经过以上一系列的操作,3600万个BEAN、8.75亿个BEAN3CRV-f、6000万个BEANLUSD-f以及0.54个UNI-V2,通过Beanstalk: Beanstalk Protocol合约转入了攻击合约。最后黑客将流动性移除并归还闪电贷,把多余的代币兑换为近2.5万个ETH持续转移至Tornado.Cash。

交易详细信息如图所示:

ETH被分批发送到 Tornado.Cash :

Armors安全在此提醒:

首先,还是要对项目代码的安全审计提高重视,建议找行业内正规的安全公司进行全方位的代码审计,并定期检查更新,可使用实时的安全监测服务,避免出现安全风险。其次,项目方应避免使用账户的当前资金余额来统计投票数量,投票所用资金应在合约中设定锁定时间,避免出现可能的反复投票或使用闪电贷进行投票。对于恶意提案,项目方和社区应提高关注度及警惕性,可考虑禁止合约地址参与投票,并设立预警机制,对于恶意提案,需及时作出预警和处理,禁止恶意提案的投票通过和执行。

Armors安全机构成立于2017年,是行业最早成立的专业区块链安全机构之一。Armors是Polygon、BSC、Ethereum、Solana等公链审计合作伙伴,已为超过2000家区块链平台、交易所、钱包、DApp等机构和项目提供安全审计、渗透测试、跨链迁移、平台安全等各方面保障及服务。成立以来,Armors已为客户挽回超过32000个BTC的资产损失。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

大币网

[0:15ms0-4:280ms