知道创宇区块链安全实验室|UmbNetwork 攻击事件分析

最新推荐文章于 2024-05-06 18:45:40 发布
最新推荐文章于 2024-05-06 18:45:40 发布
阅读量3.4k 收藏 1
点赞数
文章标签: 安全 区块链 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SierraW/article/details/123655833
版权

一、前言
北京时间 2022 年 3 月 21 日,知道创宇区块链安全实验室 监测到 BSC 链和以太坊上的 UmbNetwork 奖励池遭到黑客攻击,损失约 70 万美元。实验室第一时间对本次事件进行跟踪并分析。

在这里插入图片描述

二、基础信息
攻击者地址:0x1751e3e1aaf1a3e7b973c889b7531f43fc59f7d0

攻击合约:0x89767960b76b009416bc7ff4a4b79051eed0a9ee

StakingRewards 合约: 0xB3FB1D01B07A706736Ca175f827e4F56021b85dE

以太坊交易哈希:0x33479bcfbc792aa0f8103ab0d7a3784788b5b0e1467c81ffbed1b7682660b4fa

BSC 交易哈希:0x784b68dc7d06ee181f3127d5eb5331850b5e690cc63dd099cd7b8dc863204bf6

三、漏洞分析
此次事件,漏洞关键在于 UmbNetwork 奖励池的 StakingRewards 合约中的 _balance 函数出现溢出漏洞,合约未校验检查 balance 的值,攻击者通过 amount 发起下溢攻击,抽空了池子中的代币。

从合约代码我们可以看出,合约未正确使用 SafeMath 安全库且未作溢出检查,导致此次攻击发生。
在这里插入图片描述

四、攻击流程
攻击者从 BSC 链发起攻击获取 156 枚 pancake-LP 代币:

在这里插入图片描述
在这里插入图片描述

攻击者在以太坊上发起攻击获取 8792 枚 UNI-V2 代币:

在这里插入图片描述
在这里插入图片描述

随后攻击者分别将代币转分别换成 ETH、UMB 和 BNB ,获利约 70 万美元。

五、分析
本次攻击事件核心是由于合约未正确使用 SafeMath 库并且未对合约进行溢出检查导致合约出现溢出漏洞,而导致了此次事件的发生,建议项目方多加注意检查合约是否正确使用各类安全库。

近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。

「已注销」
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
知道创宇代码审计与渗透测试内部培训教材.rar
04-04
正确的安全世界观,代码审计与渗透测试培训、web安全渗透测试教材等内容
创宇区块链Inverse Finance 安全事件分析
SierraW的博客
04-07 2593
Inverse Finance 借贷协议惨遭攻击,损失金额再创新高,预言机设置不容大意。
神策数据薛创宇:数据分析与场景实践之“坑位运营”
神策数据
01-08 447
本文内容由神策数据根据数据驱动大会现场演讲整理而成。本文主要内容如下:坑位运营起源数据分析与坑位运营如何进行坑位运营实践案例温馨提示:完整版 PPT 可点击阅读原文下载。...
深入分析 Uniswap V3 流动性供应的数学原理
SierraW的博客
12-08 3856
Uniswap 在今年 5 月上线了 V3 版本协议,与之前 V2 版本相比存在诸多差异。
知道创宇区块链安全风险白皮书.pdf
08-15
知道创宇区块链安全风险白皮书 用Java
知道创宇发布区块链安全整体解决方案.pdf
08-15
#资源达人分享计划#
知道创宇404实验室】2018年网络空间安全报告
01-16
2018年网络空间安全事件详细解读,内容涉及区块链分析漏洞分析以及行业安全问题分析
知道创宇404实验室2018年网络空间安全报告
01-14
2018年网络安全事件漏洞区块链的详细年度分析报告
知道创宇区块链安全实验室 | OneRing Finance 闪电贷攻击事件分析
SierraW的博客
03-23 3835
前言 北京时间 2022 年 3 月 22 日,知道创宇区块链安全实验室 监测到 Fantom 生态稳定币收益优化器 OneRing Finance 遭到闪电贷攻击,黑客窃取逾 145万 美元。 分析 攻击事件如下图所示,该次攻击事件的问题点在于 OneRing Finance 直接使用交易对中的 reserves 来实时进行 OShare 的价格计算,攻击者通过 Swap 操作提高 reserves 的量,最终拉升 OShare 的价格,获取更多的资金。 基础信息 攻击合约: 0x6A6d593ED74
安全配置核查关注点
m0_62207482的博客
05-06 188
防火墙对UDP/TCP协议对外提供服务,供外部主机进行访问,如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等,应配置防火墙,只允许特定主机访问。- 对于VPN用户,必须按照其访问权限不同而进行分组,并在访问控制规则中对该组的访问权限进行严格限制,检查口令生存周期要求。- 配置访问控制规则,拒绝对防火墙保护的系统中常见漏洞所对应端口或者服务的访问。- 查看每个共享文件夹的共享权限,只允许授权的账户拥有权限共享此文件夹。- 检查是否配置NFS服务限制检查。
合规基线:让安全大检查更顺利
a38417的博客
04-29 1075
德迅基线产品还支持自定义基线功能,企业可根据实际的使用场景,自行定义基线的检查项,如定义检查阈值、自定义检查目录、自定义检查结果展现模板、自定义检查项整改方案等,以满足企业多样化的内部监管要求。但是在有限的安全人员、参差不齐的安全技术水平面前,迫切需要能够辅助安全检查与自评估的自动化、标准化的基线检查工具,并且能够支持多种类型的主机、数据库、应用系统等安全基线信息的采集与检测工作。,进行实时安全核查,快速发现安全配置变化,一旦发生安全配置变更异常,以邮件方式进行安全告警。相对于其他同等产品优势,
网络安全实训Day16
Yisitelz的博客
04-26 2021
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
Ftrans文件外发系统 构建安全可控文件外发流程
文件数据安全交换
04-29 846
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。飞驰云联主要服务于集成电路半导体、先进制造、高科技、金融、政府机构等行业的中大型客户,现有客户超过500家,其中500强和上市企业150余家,覆盖终端用户超过40万,每年通过飞驰云联平台进行数据传输和保护的文件量达到4.4亿个。
Lianwei 安全周报|2024.05.06
联蔚盘云的博客
05-06 395
新的一周又开始了,以下是本周「Lianwei周报」,我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件,保证大家不错过本周的每一个重点!
大型语言模型安全风险的基准评估套件
lurenjia404的博客
05-06 509
CYBERSECEVAL 2 扩展了以前的工作,增加了两个新的测试套件:解释器滥用和提示注入。
IP路由安全:保护网络免受威胁
JAZJD的博客
04-29 1295
在当今互联的世界中,确保网络通信的安全至关重要。IP路由安全网络安全的重要组成部分,它涉及保护通过 IP 网络传输的数据以及确保路由协议本身的安全。在本博客中,我们将探讨 IP 路由安全的主题,包括 IPv4 和 IPv6 协议的安全分析、IPsec 的介绍,以及确保路由安全的最佳实践。发送方发送方根据 IP 数据包(包括标头)计算哈希值。哈希值和一些其他安全参数被添加到 AH 头中。IP 数据包被封装在 AH 头内,然后封装在外部 IP 头中。
国内首发 | CSA大中华区启动《AI安全产业图谱(2024)》调研
最新发布
CCSA2018的博客
05-06 700
在人工智能(AI)技术的快速发展浪潮中,AI安全已成为全球关注的焦点。为应对AI安全带来的挑战,确保AI技术的健康发展,全球范围内的研究机构、企业和技术社区都在积极探索解决方案。在这一背景下,CSA大中华区于等机构的专家,致力于构建一个多方参与、共同治理的AI安全生态系统。CSA大中华区在AI安全领域开展了多项研究工作并取得显著成果。先后发布了》等研究成果;与OpenAI、亚马逊、谷歌、微软等行业巨头合作,共同发起了AI安全倡议。
知道创宇云监测—scanv max更新
04-11
Sorry, as an AI language model, my response must be in English. Could you please provide the English translation of the question?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值