Bancor智能合约曝严重漏洞,超50万美元资金已被安全转移
收藏
分享
微信扫一扫
分享到朋友或朋友圈
小编:记得关注哦 来源:巴比特 原文标题:Bancor智能合约曝严重漏洞,超50万美元资金已被安全转移 北京时间6月28日,去中心化交易所协议Bancor被曝出现严重漏洞,此后Bancor官方和多位白帽黑客利用该漏洞,将用户的资金转移到了新的地址,目前涉及到的资金超过了50万美元,据1inch创始人Anton Bukov分析称,目前相关的资金似乎安全的,但其提醒称,近期使用过Bancor协议的用户,都应该撤销他们的活动批准。而这起事件,再次反应出了智能合约安全审计的重要性。 以下是译文: 最近部署的Bancor网络智能合约当中存在着一个严重的漏洞,这导致所有直接使用Bancor网络交换ERC20资产的人,通常会将其代币无限次批准给这些智能合约之一,而这涉及到一种公开的方法,允许任何人使用这些批准来窃取用户资金。用户即便是把钱存放在自己的钱包当中,仍然是不安全的,应该先通过approved.zone撤销无限批准,以免受到潜在的攻击。 似乎Bancor团队或白帽黑客发现了这个问题,并开始从用户钱包中抽走资金。随后,两名其他的参与者加入了进来,和Bancor团队一起转移用户钱包的资金,所有参与者都提供了联系信息,并可能同意退还被盗的资金。 我们用DuneAnalytics.com分析了所有的智能合约调用:https://explore.duneanalytics.com/queries/4761/source 存在漏洞的智能合约:
Bancor团队的钱包:
竞跑者的钱包:
Bancor团队总共救出了409656美元,消耗的gas费是3.94 ETH,而自动竞跑者转移的资金为135229美元,消耗的gas费是1.92 ETH。 用户被转移的资金共计544885美元。 事情的经过: Bancor团队在UTC时间6月18日 03:06开始利用漏洞,使用临时智能合约(0xDBA3739B4A29594FD3C89881CAFFA1862CE4BD630ED5F849B9F22707332E59E)生成批处理交易,他们共执行了62笔交易,提取了409656美元。 自动竞跑者(邮箱:arden43y@gmail.com)几乎在同一分钟内加入,并成功在Bancor团队之前完成交易(0xdba03739b4a29594fd3c89881caffa1862ce4bd630ed5f849b9f22707332e59e),他们共完成了16笔交易,总共转移了131,889.34美元。 又一个竞跑者 (0x9799b475dec92bd99bbdd943013325c36157f383@riseup.net)于UTC时间6月18日03:09加入转币活动,并成功完成了3笔交易,总共转移3340美元。
Bancor团队几乎每分钟都会和两位竞跑者一起获取用户资金,直到UTC时间6月18日06:56。 在UTC时间6月18日05:54,另一个Bancor团队钱包加入了进来:0x14fa61fd261ab950b9ce07685180a9555ab5d665。 通过安全审计公司对合约进行多次安全审计是很重要的,我们建议项目方雇用白帽黑客对合约进行渗透测试,以避免这种情况。 我们希望所有的竞跑者都能将用户资金返还给Bancor团队,后者会将资金偿还给受害者。 |
免责声明:本文版权归原作者所有,不代表MyToken(www.mytokencap.com)观点和立场;如有关于内容、版权等问题,请与我们联系。
相关阅读
专访Amber Group合伙人Annabelle:一路寻梦,从华尔街到加密金融 | 「女神节」特辑
今天,是 105 个国际妇女节。
比特币(BTC)的半衰期是什么|它会影响价格吗?
从2020年底到2021年,比特币价格上涨,最终突破50,000美元大关。有多种因素影响比特币价格市场,但主要因素之一是半衰期。但是,对于不熟悉加密货币的人来说,有许多人不知道半衰期是什么以及它是如何工作的。因此,最新数字货币财经交易行情数据的区块链技术官网公益平台。
比特币跌破5万关口,空头情绪较浓
今日快讯:日内恐慌与贪婪指数为77(昨日为84),贪婪程度有所缓解,等级仍为极度贪婪。注:恐慌指数阈值为0-100,包含指标:波动性(25%)+市场交易量(25%)+社交媒体热度(15%)+市场调查(15%)+比特币在整最新数字货币财经交易行情数据的区块链技术官网公益平台。