2023年7月30日晚,多个项目迎来至暗时刻。
7 月 30 日 21:35左右,据Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,NFT 借贷协议JPEG'd项目遭遇攻击。
在Beosin安全团队正在分析之时,又有几个项目接连受损。
7 月 30 日 22:51左右,msETH-ETH池子被黑客突袭。
7 月 30 日 23:35左右,alETH-ETH 池子被同样的攻击方式破解。
紧接着,DeFi项目Alchemix、Metronome 项目归属的流动性池子相继遭遇攻击。
同一个攻击方式,被黑客多次利用,到底是哪里出了问题?
根据7 月 31 日凌晨以太坊编程语言 Vyper 发推表示,Vyper 0.2.15、0.2.16 和 0.3.0 版本有重入锁有漏洞,加上原生的ETH可以在转账时调callback,导致这几个和ETH组的lp池子可以被重入攻击。
安全团队:paraswap部署者私钥疑似泄露,资金在多个链上被盗:10月11日消息,据Supremacy安全团队监测,2022年10月11日,paraswap部署者地址在多个链(ETH、BSC、FTM)上发起异常交易,将其地址中的全部余额转移至0xf35875a064cdbc29d7174f5c699f1ebeaa407036地址。经过分析,该地址为Profanity漏洞利用者地址,其历史记录中有窃取多个靓号地址资产的痕迹。经过排查,目前只有paraswap部署者地址自身资产遭到窃取,暂不影响paraswap多签金库(签名阈值为2),但不排除其他多签地址也由Profanity生成,所以多签金库也可能存在风险。目前Supremacy团队已联系paraswap官方传达信息,在此再次呼吁大家即时将及时更换由Profanity生成的地址,针对Profanity地址的攻击仍在持续进行。[2022/10/11 10:30:53]
Infura:ETH1、Palm等多个API端点宕机,团队正在修复:4月22日消息,以太坊RPC基础设施Infura发布公告称:“我们发现一些ETH1、Palm、Optimism、Polygon、Filecoin和Arbitrum API端点宕机。目前,宕机仅限于列出的组件,这些组件暂时不可用。我们目前正在调查,以查明根本原因并采取补救措施。目前根本原因已经确定,我们正在修复。”
与此同时,Etherchain.org数据显示,以太坊Gas费用下降至10GWei左右。[2022/4/23 14:42:56]
接着Curve官方推特发文表示,由于重入锁出现故障,许多使用 Vyper 0.2.15 的稳定币池 (alETH/msETH/pETH) 遭到攻击,但其他池子是安全的。
以下为本次黑客攻击事件涉及的相关交易
●攻击交易
分析师:比特币一旦站稳4万美元,将出现多个看涨信号:由于有传言称亚马逊可能接受加密货币支付(已被亚马逊否认),以及埃隆·马斯克的各种评论,比特币价格上涨了约17%。Kraken分析师表示,过去一周可能改变了市场情绪,因为大量“多头”消息推动了比特币的大规模采用进程。虽然很多市场参与者都在期待价格进一步下跌,但现在情绪指数显示出逆转信号。比特币4万美元至4.2万美元的阻力区对多头来说可能是一场斗争,因为他们在这个价格面临巨大的抛售压力。Kraken分析师表示,如果比特币未能在4万美元站稳脚跟,很可能会回到上月4.2万美元至3万美元的区间。此外,价格并不是唯一值得关注的因素。据摩根大通加密专家Nikolaos Panigirtzoglou称,如果比特币市值占比达到50%的主导水平,我们将开始看到新一轮牛市趋势的初步迹象。(U.Today)[2021/7/29 1:23:20]
0xc93eb238ff42632525e990119d3edc7775299a70b56e54d83ec4f53736400964 0xb676d789bb8b66a08105c844a49c2bcffb400e5c1cfabd4bc30cca4bff3c9801
动态 | MOMOEX平台ETF专区已上线多个币种 LTC3L领涨12.37%:据官方消息,MOMO平台ETF专区现已上线BTC3L、 BTC3S、ETH3L、 ETH3S、EOS3L、 EOS3S、XRP3L、XRP3S、BCH3L、BCH3S、BSV3L、BSV3S、ETC3L、ETC3S、LTC3L、LTC3S等币种,即将会上线更多币种。
ETF与期货合约产品类似,杠杆ETF产品都是带有杠杆效应的衍生品。但是相较期货合约,杠杆ETF产品主要有以下特点:(1)现货式交易,无需保证金:用户可像交易现货产品一样交易该杠杆产品。(2)由于杠杆ETF产品的内在特征,我们会对基金的投资组合进行定期再平衡,所以投资者不必担心出现爆仓的风险。
MOMOEX数字资产管理与交易平台,是现有平台中币种数量最多,币对数量最全,流动性最好的数字货币交易所平台之一。[2020/2/19]
0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c
0x2e7dc8b2fb7e25fd00ed9565dcc0ad4546363171d5e00f196d48103983ae477c
行情 | BitMax交易平台多个币种24小时涨幅超10%:据BitMax(BTMX.COM)官网显示,截止今日11:30其平台上多个币种24小时涨幅超10%:DUO(36.83%)、MATIC(14.08.,%)ELF(13.77%)。BitMax支持MATIC和XTZ3倍杠杆交易,更多详情可登录BitMax平台官网BTMX.COM查看。[2020/2/4]
0xcd99fadd7e28a42a063e07d9d86f67c88e10a7afe5921bd28cd1124924ae2052
●攻击者地址
0xC0ffeEBABE5D496B2DDE509f9fa189C25cF29671
0xdce5d6b41c32f578f875efffc0d422c57a75d7d8
0x6Ec21d1868743a44318c3C259a6d4953F9978538
0xb752DeF3a1fDEd45d6c4b9F4A8F18E645b41b324
●被攻击合约
0xc897b98272AA23714464Ea2A0Bd5180f1B8C0025
0xC4C319E2D4d66CcA4464C0c2B32c9Bd23ebe784e
0x9848482da3Ee3076165ce6497eDA906E66bB85C5
0x8301AE4fc9c624d1D396cbDAa1ed877821D7C511
根据Beosin安全团队的分析,本次攻击主要是源于是Vyper 0.2.15的防重入锁失效,攻击者在调用相关流动性池子的remove_liquidity函数移除流动性时通过重入add_liquidity函数添加流动性,由于余额更新在重入进add_liquidity函数之前,导致价格计算出现错误。
黑客攻击准备阶段,首先通过balancer:Vault闪电贷借出10,000枚ETH作为攻击资金。
1. 第一步,攻击者调用add_liquidity函数将闪电贷借入的5000ETH添加进池子中。
2.第二步,随后攻击者调用remove_liquidity函数移除池子中的ETH流动性时再次重入进add_liquidity函数添加流动性。
3. 第三步,由于余额更新在重入进add_liquidity函数之前,导致价格计算出现错误。值得注意的是remove_liquidity函数和add_liquidity函数已经使用了防重入锁防止重入。
4.因此这里防重入存在并未生效,通过阅读如下图所示的左边存在漏洞的Vyper代码可以发现当重入锁的名称第二次出现的时候,storage_slot原有数量会加1。换而言之,第一次获取锁的slot为0,但是再次有函数使用锁后slot变为1,重入锁此时已经失效。
https://github.com/vyperlang/vyper/commit/eae0eaf86eb462746e4867352126f6c1dd43302f
截止发文时,本次攻击事件损失的资金已超5900W美元,Beosin KYT监测到目前c0ffeebabe.eth地址已归还2879个ETH,被盗资金仍在多个攻击者地址上。
关于本次事件造成的影响,7月31日消息,币安创始人赵长鹏CZ发推称,CEX喂价拯救了DeFi。币安用户不受影响。币安团队已检查Vyper可重入漏洞。币安只使用0.3.7或以上版本。保持最新的代码库、应用程序和操作系统非常重要。
7月31日消息,Curve 发推称,由于版本 0.2.15-0.3.0 中的 Vyper 编译器存在问题,CRV/ETH、alETH/ETH、msETH/ETH、pETH/ETH 被黑客攻击。此外,Arbitrum Tricrypto 池也可能会受影响,审计人员和 Vyper 开发人员暂未找到可攻击漏洞,但请退出使用。
可以看到本次事件造成的影响依然没有结束,这些池子有资金的用户还需要多加注意。
针对本次事件,Beosin安全团队建议:当前使用Vyper 0.2.15、0.2.16和0.3.0版本的重入锁均存在失效的问题,建议相关项目方进行自查。项目上线后,强烈建议项目方仍然关注第三方组件/依赖库的漏洞披露信息,及时规避安全风险。
Beosin
企业专栏
阅读更多
Foresight News
金色财经 Jason.
白话区块链
金色早8点
LD Capital
-R3PO
MarsBit
深潮TechFlow
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。