加密版無損「倒信用卡」獲利百萬美元，FEG閃電貸攻擊事件分析-ODAILY_TPS:tps幣行情

北京時間2022年5月16日凌晨4:22:49，CertiK安全技術團隊監測到FEG在以太坊和BNB鏈上遭受大規模閃電貸攻擊，導致了價值約130萬美元的資產損失。

此攻擊是由“swapToSwap()”函數中的一個漏洞造成的，該函數在未對傳入參數進行篩查驗證的情況下，直接將用戶輸入的"path"作為受信任方，允許未經驗證的"path"參數來使用當前合約的資產。

因此，通過反復調用"depositInternal()"和"swapToSwap()"，攻擊者可獲得無限制使用當前合約資產的許可，從而盜取合約內的所有資產。

英國法律委員會：英國應創建使用加密貨幣作為抵押品的定制框架:金色財經報道，英國司法部資助的法律委員會在一份報告中表示，英國應該創建一個使用加密貨幣作為抵押品的定制框架。該委員會表示，這種制度的范圍將超出英國現有的傳統金融抵押安排法規。該委員會還加倍呼吁英國將加密資產視為一種新型財產。它還希望政府成立一個由特定行業的技術專家、法律從業者、學者和法官組成的小組，就與數字資產相關的復雜法律問題向法院提供建議。雖然英格蘭和威爾士的法律體系完全可以支持英國政府將加密貨幣納入現有法律框架范圍的嘗試，但某些領域可能需要專門處理以適應數字資產。

該報告是英格蘭和威爾士法律委員會聲稱的英國政府首次委托分析現有法律框架如何適應加密貨幣和NFT的結果。該獨立機構由律師、法官和教授組成，并提出政府可以決定推進的法律改革建議。該委員會的提議不適用于擁有自己法律體系的蘇格蘭和北愛爾蘭。[2023/6/28 22:04:52]

受影響的合約地址之一：https://bscscan.com/address/0x818e2013dd7d9bf4547aaabf6b617c1262578bc7

風投公司Electric Capital：加密開發者的數量在熊市中有所增加:金色財經報道，加密貨幣風險投資公司Electric Capital表示，區塊鏈、加密貨幣和Web3開發者在2022年繼續建立他們的生態系統，即使面對殘酷的加密貨幣冬天。根據該風險投資公司的《2022年電力資本開發者報告》，在2022年加密貨幣價格大幅下跌的情況下，從事不同區塊鏈生態系統的全職開發者同比增長了8%。去年，在所有生態系統中，首次貢獻代碼的開發者也達到了歷史最高水平，大約有61000人。[2023/1/18 11:17:39]

漏洞交易

漏洞地址:https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c

漏洞交易樣本：https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063

英國經紀商IG Group停止向零售用戶提供加密衍生品服務:2月22日消息，金融經紀公司IG Group正在關閉面向零售客戶的加密貨幣產品，交易截止時間為當地3月24日15:00。此前，金融市場行為監管局（FCA）已發布規則，禁止將涉及某些類型的加密資產衍生產品和交易所交易票據（ETN）出售給零售消費者。（CoinDesk）[2021/2/22 17:40:27]

被盜資金追蹤：https://debank.com/profile/0x73b359d5da488eb2e97990619976f2f004e9ff7c/history

相關地址

攻擊者地址：https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c

美國擬議的新穩定幣法案遭到加密界的強烈反對:美國國會議員提出的新穩定幣法案遭到了加密界的強烈反對。CoinShares董事長Danny Masters表示，加密貨幣降低了被排除在銀行業之外的人提供服務的成本。通過引入該法案，成本和合規性將增加，結果將切斷與提案議員希望保護的人群的聯系。美國懷俄明州眾議員Tyler Lindholm表示，該法案違背了加密部門權力下放的基本精神。Shapeshift首席執行官Erik Voorhees也表示，該法案注定會失敗。（Cointelegraph）[2020/12/3 22:58:33]

攻擊者合約：https://bscscan.com/address/0x9a843bb125a3c03f496cb44653741f2cef82f445

FEG代幣地址：https://bscscan.com/token/0xacfc95585d80ab62f67a14c566c1b7a49fe91167

動態 | 泰國SEC針對該未注冊加密貨幣公司發出若干警告:據news.bitcoin消息，自5月份泰國頒布加密貨幣法規以來，越來越多的公司在該國推出了加密貨幣交易所并發行代幣。但是有一些尚未向泰國證券交易委員會（SEC）申請批準，促使SEC發出若干警告，包括Db Holdings Plc., Q Exchange Ltd., Mrc Biz Ltd.以及9種未注冊代幣。據悉，到目前為止，只有6所加密貨幣交易所和一個經銷商已被臨時批準，Coins Th.是唯一一家暫時獲準作為加密貨幣交易商運營的公司，目前SEC尚未批準新的交易所或令牌發行者。[2018/11/18]

FEGWrappedBNB(fBNB):https://bscscan.com/address/0x87b1acce6a1958e522233a737313c086551a5c76#code

攻擊步驟

以下攻擊流程基于該漏洞交易：https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063

①攻擊者借貸915WBNB，并將其中116BNB存入fBNB。

②攻擊者創建了10個地址，以便在后續攻擊中使用。

③攻擊者通過調用"depositInternal()"將fBNB存入合約FEGexPRO。

根據當前地址的余額，"_balances2"被增加。

④攻擊者調用了"swapToSwap()"，路徑參數是之前創建的合約地址。

該函數允許"path"獲取FEGexPRO合約的114fBNB。

⑤攻擊者反復調用"depositInternal()"和"swapToSwap()"，允許多個地址獲取fBNB代幣，原因如下：

每次"depositInternal()"被調用，_balance2將增加約114fBNB。

每次"swapToSwap()"被調用，攻擊者所創建合約能獲取該114fBNB的使用權限。

⑥由于攻擊者控制了10個地址，每個地址均可從當前地址花費114個fBNB，因此攻擊者能夠盜取被攻擊合約內的所有fBNB。

⑦攻擊者重復步驟④⑤⑥，在合約內耗盡FEG代幣。

⑧最后攻擊者出售了所有耗盡的資產，并償還閃電貸款，最終獲取了其余利潤。

資產去向

截至2022年5月16日6:43，被盜資金仍存儲在以太坊和BSC鏈上的攻擊者錢包中。

原始資金來自以太坊和BSC的Tornadocash：https://etherscan.io/tx/0x0ff1b86c9e8618a088f8818db7d09830eaec42b82974986c855b207d1771fdbe

https://bscscan.com/tx/0x5bbf7793f30d568c40aa86802d63154f837e781d0b0965386ed9ac69a16eb6ab

攻擊者攻擊了13個FEGexPRO合約，以下為概覽：

寫在最后

本次攻擊事件本可通過安全審計來有效地避免。

CertiK安全專家認為審計過程中可以檢查出該風險——不受信任的"path"參數被傳遞到協議中，并獲取合約資產支出的權限。審計專家會將該風險歸類于主要風險級別，此外，如果進行更深層次的挖掘，還可列明被利用的多種可能。

Tags：QUO加密貨幣BNBTPSQUO價格我國為什么禁止加密貨幣bnb最新價格utps幣行情

火幣APP下載