BSC 鍊和以太坊上的UmbNetwork 獎勵池遭到黑客攻擊,損失約70 萬美元。一、前言
北京時間2022 年3 月21 日,知道創宇區塊鏈安全實驗室監測到BSC 鍊和以太坊上的UmbNetwork 獎勵池遭到黑客攻擊,損失約70 萬美元。實驗室第一時間對本次事件進行跟踪並分析。
二、基礎信息
攻擊者地址:0x1751e3e1aaf1a3e7b973c889b7531f43fc59f7d0
攻擊合約:0x89767960b76b009416bc7ff4a4b79051eed0a9ee
StakingRewards 合約: 0xB3FB1D01B07A706736Ca175f827e4F56021b85dE
以太坊交易哈希:
0x33479bcfbc792aa0f8103ab0d7a3784788b5b0e1467c81ffbed1b7682660b4fa
BSC 交易哈希:0x784b68dc7d06ee181f3127d5eb5331850b5e690cc63dd099cd7b8dc863204bf6
三、漏洞分析
此次事件,漏洞關鍵在於UmbNetwork 獎勵池的StakingRewards 合約中的_balance 函數出現溢出漏洞,合約未校驗檢查balance 的值,攻擊者通過amount 發起下溢攻擊,抽空了池子中的代幣。
從合約代碼我們可以看出,合約未正確使用SafeMath 安全庫且未作溢出檢查,導致此次攻擊發生。
四、攻擊流程
攻擊者從BSC 鏈發起攻擊獲取156 枚pancake-LP 代幣:
攻擊者在以太坊上發起攻擊獲取8792 枚UNI-V2 代幣:
隨後攻擊者分別將代幣轉分別換成ETH、UMB 和BNB ,獲利約70 萬美元。
五、分析
本次攻擊事件核心是由於合約未正確使用SafeMath 庫並且未對合約進行溢出檢查導致合約出現溢出漏洞,而導致了此次事件的發生,建議項目方多加註意檢查合約是否正確使用各類安全庫。
近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
展開全文打開碳鏈價值APP 查看更多精彩資訊
