北京时间 6 月 18 日消息,去中心化交易所协议 Bancor 被曝出现严重漏洞,此后 Bancor 官方和多位白帽黑客利用该漏洞,将用户的资金转移到了新的地址,目前涉及到的资金超过了 50 万美元,据 1inch 创始人 Anton Bukov 分析称,目前相关的资金似乎安全的,但其提醒称,近期使用过 Bancor 协议的用户,都应该撤销他们的活动批准。而这起事件,再次反应出了智能合约安全审计的重要性。
以下是译文:
最近部署的 Bancor 网络智能合约当中存在着一个严重的漏洞,这导致所有直接使用 Bancor 网络交换 ERC20 资产的人,通常会将其代币无限次批准给这些智能合约之一,而这涉及到一种公开的方法,允许任何人使用这些批准来窃取用户资金。用户即便是把钱存放在自己的钱包当中,仍然是不安全的,应该先通过 approved.zone 撤销无限批准,以免受到潜在的攻击。
似乎 Bancor 团队或白帽黑客发现了这个问题,并开始从用户钱包中抽走资金。随后,两名其他的参与者加入了进来,和 Bancor 团队一起转移用户钱包的资金,所有参与者都提供了联系信息,并可能同意退还被盗的资金。
我们用 DuneAnalytics.com 分析了所有的智能合约调用:
https://explore.duneanalytics.com/queries/4761/source
存在漏洞的智能合约:
0x8dfeb86c7c962577ded19ab2050ac78654fea9f7
0x5f58058C0eC971492166763c8C22632B583F667f
Bancor 团队的钱包:
0xc8021b971e69e60c5deede19528b33dcd52cdbd8
0x14fa61fd261ab950b9ce07685180a9555ab5d665
竞跑者的钱包:
0x052ede4c2a04670be329db369c4563283391a3ea
0x1ad1099487b11879e6116ca1ceee486d1efa7b00
0x854b21385544c44121f912aedf4419335004f8ec
Bancor 团队总共救出了 409656 美元,消耗的 gas 费是 3.94 ETH,而自动竞跑者转移的资金为 135229 美元,消耗的 gas 费是 1.92 ETH。用户被转移的资金共计 544885 美元。
事情的经过
Bancor 团队在 UTC 时间 6 月 18 日 03:06 开始利用漏洞,使用临时智能合约
(0xDBA3739B4A29594FD3C89881CAFFA1862CE4BD630ED5F849B9F22707332E59E)生成批处理交易,他们共执行了 62 笔交易,提取了 409656 美元。
自动竞跑者 (邮箱:arden43y@gmail.com) 几乎在同一分钟内加入,并成功在 Bancor 团队之前完成交易(0xdba03739b4a29594fd3c89881caffa1862ce4bd630ed5f849b9f22707332e59e),他们共完成了 16 笔交易,总共转移了 131,889.34 美元。
又一个竞跑者
(0x9799b475dec92bd99bbdd943013325c36157f383@riseup.net) 于 UTC 时间 6 月 18 日 03:09 加入转币活动,并成功完成了 3 笔交易,总共转移 3340 美元。
0x03dbfdc1c043afbc24537bb12a9ead5779b242da26e9acdf00e7cc967e3b9d81 — $820
0xc07cfb0ad175bdb0c23b53e4fe8c8a61924d45760d0214c976dd84c656d7774b — $390
0xf17e0025cfa680a1bd3e5c41ef44bf8d716724e0b626ba658b111451bf0e0815 — $630
0xe1c94a9af2d5685a1bee89b40d3e7f8e047b9d6a6ef8fc1075e956afd793ef45 — $1500
Bancor 团队几乎每分钟都会和两位竞跑者一起获取用户资金,直到 UTC 时间 6 月 18 日 06:56。
在 UTC 时间 6 月 18 日 05:54,另一个 Bancor 团队钱包加入了进来:
0x14fa61fd261ab950b9ce07685180a9555ab5d665。
通过安全审计公司对合约进行多次安全审计是很重要的,我们建议项目方雇用白帽黑客对合约进行渗透测试,以避免这种情况。
我们希望所有的竞跑者都能将用户资金返还给 Bancor 团队,后者会将资金偿还给受害者。
End
扫码关注~
你就是圈子里的 DeFi 大咖!
DeFi 之道公众号后台
回复“财富”获取 DeFi 热门项目白皮书合集 !
回复“研究”获取 DeFi 研究报告合集!
回复“论文”获取 DeFi 相关论文合集!
干货持续更新中,敬请关注……
声明:本内容为作者独立观点,不代表 CoinVoice 立场,且不构成投资建议,请谨慎对待,如需报道或加入交流群,请联系微信:VOICE-V。
简介:专业性+洞察力的中文区块链媒体,致力于探索Web 3.0前瞻内容和深度解读。
评论0条