2022年5月16日,成都链安链必应-区块链安全态势感知平台舆情监测显示,Ethereum和BNBChain上FEGtoken项目的FEGexPRO合约遭受黑客攻击,黑客获利约3280?BNB?以及144ETH,价值约130万美元。成都链安技术团队对事件进行了分析,结果如下。
事件相关信息
本次攻击事件包含多笔交易,部分交易信息如下所示:
攻击交易?(部分)
0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063?(BNBChain)
IOTA代币持有者将投票决定无人认领的代币该如何处置:1月27日消息,IOTA代币持有者将投票决定无人认领的代币应该如何处置。投票选项有两种:1、用于支持和资助对IOTA社区生态系统至关重要的项目和计划,这些资金将完全由社区管理。2、从IOTA分类账中删除,总供应量将减少。
投票过程将分为三个阶段:提案公告;投票(七天);计票(10天)。投票结果将通过参与计数的每个节点以分散的方式生成和验证。每个节点都可以通过API终结点公开其当前和最终结果。
据此前消息,在去年的Chrysalis网络升级期间,IOTA基金会要求IOTA社区决定如何使用超过50个无人认领的IOTA代币。[2022/1/28 9:18:08]
0x1e769a59a5a9dabec0cb7f21a3e346f55ae1972bb18ae5eeacdaa0bc3424abd2?(Ethereum)
数据:谷歌搜索“如何购买NFT”兴趣值达到100 全球对NFT兴趣在八月飙升426%:金色财经报道,根据区块链中心对谷歌趋势数据的分析显示,2021年8月,全球对非同质化代币(NFT)的兴趣增加了426%。2021年8月1日,谷歌搜索关键字“如何购买NFT”的次数为19,但到2021年8月29日,该数字已经上升到100。谷歌的搜索兴趣以点数来衡量,100分最高,0分最低。由于谷歌搜索“如何购买NFT”兴趣值已达到100,这表明创下了2021年迄今为止的最大搜索量。另外根据国家区块链,对数字艺术作品兴趣最高的是新加坡,谷歌搜索值为100,澳大利亚以86分位居第二,尼日利亚紧随其后(70分)。(finbold)[2021/9/8 23:10:29]
攻击者地址
0x73b359d5da488eb2e97990619976f2f004e9ff7c
动态 | 会计公司H&R Block推出新服务 就如何正确申报加密货币损益提供咨询:根据9月24日发布的一份新闻稿,美国会计公司H&R Block推出了一项针对从事加密货币交易的人士的新服务,专门就如何在纳税申报单上正确申报加密货币损益提供咨询。(Cointelegraph)[2019/9/25]
攻击合约
0x9a843bb125a3c03f496cb44653741f2cef82f445
被攻击合约
0x818e2013dd7d9bf4547aaabf6b617c1262578bc7?(BNBChain)
0xf2bda964ec2d2fcb1610c886ed4831bf58f64948(Ethereum)
攻击流程
Ethereum和BNBChain上使用攻击手法相同,以下分析基于BNBChain上攻击:
金色财经现场报道 海纳云CTO邹均:区块链技术难点在于如何让所有节点统一步调:金色财经现场报道,在2018区块链技术及应用峰会上,海纳云CTO邹均认为,区块链技术当前的限制难点在分布式系统中让所有节点统一步调,区块链目前存在性能限制、扩展性限制、易用性限制、兼容性跨链互联限制、存储限制、治理限制、软件升级限制等问题。[2018/3/31]
1.攻击者调用攻击合约利用闪电贷从DVM合约(0xd534...0dd7)中借贷915.84WBNB,然后将116.81WBNB兑换成115.65fBNB为后续攻击做准备。
2.攻击者利用攻击合约创建了10个合约,为后续攻击做准备。
中国纪检监察报:中国区块链发展的最大挑战是“如何让监管理解区块链并适度监管”: 中国纪检监察报发文表示,区块链底层技术获得实质性突破之前的这个阶段,恰恰是一个战略机遇期。如果中国区块链行业能紧密合作,监管能够适当包容、鼓励,中国在区块链领域引领全球指日可待。实际上,区块链技术最终必然演化为“监管融入技术”的模式,区块链的难以篡改、共享账本和分布式的特性,更易于监管介入,获得更加全面实时的监管数据。让监管机构本身也参与到技术中去,通过技术本身实现对技术的监管,最终化解区块链与监管的冲突。[2018/3/6]
3.攻击者接下来将兑换得到的fBNB代币抵押到FEGexPRO合约中。
4.?然后攻击者重复调用depositInternal和swapToSwap函数,让FEGexPRO合约授权fBNB给之前创建好的其他攻击合约。
5.?然后利用其他攻击合约调用transferFrom函数将FEGexPRO合约中fBNB全部转移到攻击合约中。
6.接下来又在LP交易对合约(0x2aa7...6c14)中借贷31,217,683,882,286.007211154FEG代币和423WBNB。
7.然后重复3、4、5步骤的攻击手法,将FEGexPRO合约中大量FEG代币盗取到攻击合约中。
8.然后归还闪电贷,将获得的WBNB转入攻击合约中完成此笔攻击。
9.此后,又利用相同的原理,执行了50余笔相同的攻击,最获利约144ETH和3280BNB。
漏洞分析
本次攻击主要利用了FEGexPRO合约中swapToSwap函数中path地址可控且合约中未对path地址进行有效性校验的漏洞。由于合约中depositInternal函数中更新用户余额时依赖于合约中当前代币余额,攻击者通过传入一个恶意的path地址,调用swapToSwap函数时合约中代币余额并未发生变化,导致攻击者可以反复重置攻击合约在FEGexPRO合约中记录的代币数量,从而让FEGexPRO合约将自身代币反复授权给攻击者所控制的多个恶意合约。
资金追踪
截止发文时,被盗资金仍在攻击者地址中并未转移。
总结
针对本次事件,成都链安技术团队建议:
项目开发时,应该注意与其他合约交互时可能存在的安全风险,尽量避免将关键参数设置为用户可控。如果业务需求如此,则需要严格判断用户输入的参数是否存在风险。此外建议项目上线前选择专业的安全审计公司进行全面的安全审计,规避安全风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。