在本周的摘要中,Verichains 展示了我们如何通过我们的安全咨询服务帮助我们的客户 Multichain 保护他们的平台。
上周,由于 SafeMoon 成为人们关注的焦点,DeFi 市场又遭受了 900 万美元的黑客攻击。
Verichains 安全公告
多链是为任意跨链交互而开发的基础设施。 Anyswap 于 2020 年 7 月 20 日诞生,旨在满足不同和多样化区块链相互通信的明确需求。
2022 年 12 月,Verichains 正在对阈值 ECDSA 安全性进行广泛研究。我们在 Multichain 的 fastMPC 实施中发现了一个特定漏洞,并立即联系他们的团队并提供概念验证以供他们参考。
该漏洞允许单个恶意方恢复 TSS 组的 TSS 私钥,将 at/n 阈值方案降低到 1/n。攻击者只需参加 1 次签字仪式即可。所有分别使用 7.2.5 和 7.2.6 版本的多链主网和测试网 smpc 节点都存在风险。
通过我们的共同努力,Multichain 能够在任何利用发生之前快速修补漏洞。
本案例研究强调了通过我们的安全咨询服务为我们的客户提供的价值和保护。我们对 Multichain 团队在解决漏洞方面的迅速努力以及奖励的赏金表示感谢。
在此处阅读完整的安全公告:
验证链上周的事件
🚨项目: SafeMoon
⛓️链: BSC
💥类型:访问控制
💸损失金额: 890万美元
上周开始了今年(迄今为止)第二大黑客攻击 SafeMoon,这是一个 DeFi 项目,由于 SFM 代币合约的 burn() 函数中的访问控制漏洞而遭到黑客攻击,损失 890 万美元。恶意行为者利用此漏洞销毁了大量 SFM 代币,导致 SFM 代币价格突然飙升。之后,攻击者将 SFM 代币换成 WBNB 代币,并提取了大量代币,导致 SafeMoon 用户遭受重大损失。
还值得注意的是,该交易被 0x286e MEV 机器人拦截并执行。 MEV 代表“最大可提取价值”,它指的是矿工或其他参与者可以从区块链交易中提取的价值量。 MEV 机器人是一种自动化工具,它们通过以最大化利润的方式执行交易来寻求最大化此价值。
总的来说,这一事件凸显了智能合约中强大的访问控制机制的重要性,以及在快速发展的区块链世界中时刻保持警惕的必要性。
🚨项目: Allbridge
⛓️链: BSC
💥类型:价格操纵
💸损失金额: $570,000
由于价格操纵,一个名为 Allbridge 的项目被黑客入侵超过 50 万美元。攻击者同时充当 LP 和交换者,允许他们控制池并操纵交换价格。因此,攻击者执行了交易并清空了矿池,导致损失 282,889 BUSD 和 290,868 USDT。在撰写本文时,攻击者已同意返还 1500 个 BNB 代币(约合 465,000 美元),将差额作为白帽赏金保留,结局圆满。
🚨项目:北极熊
⛓️链: BSC
💥类型:后门
💸损失金额: $110,000
在一个可能引起一些关注的事件中,一个名为 Polar Bear 的项目因 Nuwa 合约 0x344 中的后门而被黑客攻击,损失 110,000 美元,该后门未公开。发现函数 0xfa319eee 是罪魁祸首,它允许将 $BUSD 交换为 $NUWA 并将合约中的所有 $NUWA 转移给调用者。在交易执行过程中,0x286E Mev bot抢先交易,导致原交易被撤销。逆转后,0x286E 机器人出售了 $NUWA,获利约 11 万美元。
🚨项目: $UNMS
⛓️链: BSC
💥类型:闪贷攻击
💸损失金额: $100,000
一个名为 $UNMS 的代币上周遭受了 100,000 美元的闪贷攻击。攻击者利用闪电贷借入了大量的$BUSD,并修改了$BUSD和$UNMS之间的比率。这种更改使攻击者能够从合约中提取大量 $UNMS,后来他们以 10 万美元的价格出售。在这次攻击中使用快速贷款允许攻击者在短时间内对流动资金池进行大规模操纵。
