2022年4月30日,成都链安链必应-区块链安全态势感知平台舆情监测显示,FeiProtocol官方的RariFusePool遭受黑客攻击,黑客获利约28380ETH,约8034万美元,成都链安技术团队第一时间对事件进行了分析,结果如下。
#1事件相关信息
由于漏洞出现在项目基本协议中,攻击者不止攻击了一个合约,以下仅分析一例
攻击交易
香港立法会议员提交“三箭三圆”政策倡议:全面推进数字经济及Web3发展:8月31日消息,香港立法会议员(科技创新界)邱达根提交 “三箭三圆”经济及科技发展政策倡议,并提出多项建议,包括由香港投资管理有限公司成立 50 亿元的“天使母基金”,刺激科创产业投资、推出“定额投资引进计划\",目标引进具潜力的成长期科技企业、成立“二级市场配对基金”,盘活二级资本市场、取消或下调股票印花税、发行代币支持新田科技城发展、加快推出零售层面数码港元、推出“港元稳定币“沙盒,以及提供政策诱因,鼓励私营机构发行合规的港元稳定币等等,希望借助市场力量,带动香港经济加速复元,并透过全面推进数字经济及 Web3 发展,为香港创造更多新动能。
邱达根议员表示, “三箭三圆”政策倡议旨在透过政府推出政策和带头应用更多创新科技,向外展示香港推动 Web3 的决心,将有助推动香港 Web3 生态圈发展,并可吸引全球 Web3 业务投资者来港,加速推进香港数字经济及 Web3 的进程。日前亦已将 “三箭三圆”政策倡议书以及另一份有关创新科技政策的建议书递交行政长官及相关官员考虑。[2023/8/31 13:09:18]
0xab486012f21be741c9e674ffda227e30518e8a1e37a5f1d58d0b0d41f6e76530
何一:Binance Web3钱包已在测试阶段:6月4日消息,Binance 联合创始人何一在社交平台表示,Binance Web3 钱包已在测试阶段,正持续增加多链功能。[2023/6/4 21:14:48]
攻击者地址
0x6162759edad730152f0df8115c698a42e666157f
攻击合约
0x32075bad9050d4767018084f0cb87b3182d36c45
被攻击合约
0x26267e41CeCa7C8E0f143554Af707336f27Fa051
加密货币高管推出 Web3 投资公司 Tangent:金色财经报道,Jason Choi 和 Daryl Wang 是亚洲两家主要投资公司的两位前加密高管,他们正在推出自己的基金来支持 Web3 项目。
这家名为 Tangent 的新公司每个季度都将“时间和资金投入到少数几家 Web3 公司作为天使投资人”。据彭博社报道,该公司不会接受外部资金或收取管理费。该公司每季度将与 2 到 5 个早期加密项目合作,“使用未公开的小型专有资本池”。
Choi 之前是 Spartan Capital 的普通合伙人,Wang 之前是新加坡 DeFiance Capital 的负责人。(the block)[2022/7/6 1:53:15]
#2?攻击流程
1.攻击者先从Balancer:Vault中进行闪电贷。
2.将闪电贷的资金用于RariCapital中进行抵押借贷,由于RariCapital的cEther实现合约存在重入。
攻击者通过攻击合约中构造的攻击函数回调,提取出受协议影响的池子中所有的代币。
3.归还闪电贷,将攻击所得发送到0xe39f合约中
3?漏洞分析
本次攻击主要利用了RariCapital的cEther实现合约中的重入漏洞
4?资金追踪
截止发文时,被盗资金超过28380?ETH,用成都链安“链必追”追踪发现攻击者正在通过TornadoCash进行转移,大部分仍在攻击者地址。
5?总结
针对本次事件,成都链安安全团队建议:
进行以太坊转账时,谨慎使用call.value。使用时要确保重入不会发生。项目上线前,建议选择专业的安全审计公司进行全面的安全审计,规避安全风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。