一、前言
北京时间2022年3月21日,知道创宇区块链安全实验室监测到BSC链和以太坊上的UmbNetwork奖励池遭到黑客攻击,损失约70万美元。实验室第一时间对本次事件进行跟踪并分析。
二、基础信息
攻击者地址:0x1751e3e1aaf1a3e7b973c889b7531f43fc59f7d0
预言机项目 Umbrella Network 收购Lucidity:9月24日消息,预言机项目 Umbrella Network 宣布已于 8 月战略收购基于区块链的广告和数据分析平台 Lucidity,收购金额未披露。Umbrella 合伙人 Sam Kim 表示,本次收购可以将 Lucidity 的数据分析能力与 Umbrella 的预言机网络相结合,更好地将链下数据带到链上,为营销人员提供更好的数据洞察。[2021/9/24 17:02:53]
攻击合约:0x89767960b76b009416bc7ff4a4b79051eed0a9ee
韩国NH Nonghyup银行已要求加密货币交易所Bithumb和Coinone停止代币的存取:NH Nonghyup银行已要求加密货币交易所Bithumb和Coinone停止代币的存取,直至建立旅行规则。旅行规则是国际反组织 (FATF) 对虚拟资产运营商施加的一项义务。
NH Nonghyup银行解释说,由于区块链的性质,很难遵守《特定金融交易信息法》(Special Provisions Act)修正案所规定的旅行规则,因此他们想阻止代币的移动,直到系统建成。Bithumb的一位官员说:这意味着停止代币而不是韩元的存款和提款,以防止代币在交易所之间直接流动。(韩联社)[2021/8/3 1:32:10]
StakingRewards合约:0xB3FB1D01B07A706736Ca175f827e4F56021b85dE
Bithumb Global发布BCH硬分叉事件处理方案:据Bithumb Global官方公告,由于BCH将于11月15日20:00进行硬分叉升级,且存在Bitcoin Cash ABC(BCHA)和Bitcoin Cash Node(BCHN)两个节点方案,这可能导致分叉出新的代币。
因此,为了降低硬分叉期间市场波动导致的交易风险,并保证用户的资产安全,将作出以下安排:
一、关于充值、提现
Bithumb Global将于2020年11月15日18:00(UTC+8)暂停BCH充值、提现业务。请及时进行充值、提现,同时将为用户处理硬分叉中的任何技术问题。
二、关于BCH硬分叉
由于目前BCH存在两种节点方案:Bitcoin Cash ABC(BCHA)和Bitcoin Cash Node(BCHN),有可能产生两种情况:
情况一:硬分叉后生成新的分叉币,Bithumb Global将尊重社区意愿,将获得社区较多支持的方案命名为BCH。另外一条链上的代币,将根据持仓快照,按照1:1的比例空投到用户账户中,分发完成时将另行公告。
情况二:硬分叉后并未产生新的分叉币,Bithumb Global将尽快恢复BCH充值、提现业务。[2020/11/9 12:04:28]
以太坊交易哈希:0x33479bcfbc792aa0f8103ab0d7a3784788b5b0e1467c81ffbed1b7682660b4fa
BSC交易哈希:0x784b68dc7d06ee181f3127d5eb5331850b5e690cc63dd099cd7b8dc863204bf6
三、漏洞分析
此次事件,漏洞关键在于UmbNetwork奖励池的StakingRewards合约中的_balance函数出现溢出漏洞,合约未校验检查balance的值,攻击者通过amount发起下溢攻击,抽空了池子中的代币。
从合约代码我们可以看出,合约未正确使用SafeMath安全库且未作溢出检查,导致此次攻击发生。
四、攻击流程
攻击者从BSC链发起攻击获取156枚pancake-LP代币:
攻击者在以太坊上发起攻击获取8792枚UNI-V2代币:
随后攻击者分别将代币转分别换成ETH、UMB和BNB,获利约70万美元。
五、分析
本次攻击事件核心是由于合约未正确使用SafeMath库并且未对合约进行溢出检查导致合约出现溢出漏洞,而导致了此次事件的发生,建议项目方多加注意检查合约是否正确使用各类安全库。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。