知道創宇:UmbNetwork 攻擊事件分析

BSC 鍊和以太坊上的UmbNetwork 獎勵池遭到黑客攻擊,損失約70 萬美元。一、前言

北京時間2022 年3 月21 日,知道創宇區塊鏈安全實驗室監測到BSC 鍊和以太坊上的UmbNetwork 獎勵池遭到黑客攻擊,損失約70 萬美元。實驗室第一時間對本次事件進行跟踪並分析。

二、基礎信息

攻擊者地址:0x1751e3e1aaf1a3e7b973c889b7531f43fc59f7d0

攻擊合約:0x89767960b76b009416bc7ff4a4b79051eed0a9ee

StakingRewards 合約: 0xB3FB1D01B07A706736Ca175f827e4F56021b85dE

以太坊交易哈希:

0x33479bcfbc792aa0f8103ab0d7a3784788b5b0e1467c81ffbed1b7682660b4fa

BSC 交易哈希:0x784b68dc7d06ee181f3127d5eb5331850b5e690cc63dd099cd7b8dc863204bf6

三、漏洞分析

此次事件,漏洞關鍵在於UmbNetwork 獎勵池的StakingRewards 合約中的_balance 函數出現溢出漏洞,合約未校驗檢查balance 的值,攻擊者通過amount 發起下溢攻擊,抽空了池子中的代幣。

從合約代碼我們可以看出,合約未正確使用SafeMath 安全庫且未作溢出檢查,導致此次攻擊發生。

四、攻擊流程

攻擊者從BSC 鏈發起攻擊獲取156 枚pancake-LP 代幣:

攻擊者在以太坊上發起攻擊獲取8792 枚UNI-V2 代幣:

隨後攻擊者分別將代幣轉分別換成ETH、UMB 和BNB ,獲利約70 萬美元。

五、分析

本次攻擊事件核心是由於合約未正確使用SafeMath 庫並且未對合約進行溢出檢查導致合約出現溢出漏洞,而導致了此次事件的發生,建議項目方多加註意檢查合約是否正確使用各類安全庫。

近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。

展開全文打開碳鏈價值APP 查看更多精彩資訊

Total
0
Shares
Related Posts