CertiKハックの内幕:ブロックチェーンの世界におけるフィッシングの注意点
最近、CertiKのXアカウントがハッキングされたことは、ブロックチェーン領域におけるフィッシングの脅威がエスカレートしていることを浮き彫りにし、警戒を強め、強固なセキュリティ対策を講じる必要性を強調している。
Edmundログイン/ 登録
CertiKデビュー:暗号化されたロスレス「反転クレジットカード」で数百万ドルの利益 FEGフラッシュローン攻撃イベント分析
従う
北京時間の2022年5月16日午前4時22分49秒、CertiKセキュリティ技術チームは、 FEGがイーサリアムとBNBチェーンに対する大規模なフラッシュローン攻撃を受け、約130万米ドル相当の資産損失をもたらしたことを監視した。
この攻撃は、「swapToSwap()」関数の脆弱性によって引き起こされます。この関数は、受信パラメータのスクリーニングや検証を行わずに、信頼できるパーティとしてユーザーが入力した「パス」を直接使用し、認証されていない「パス」パラメータ(アドレス)を許可します。現在の契約の資産を使用します。
したがって、攻撃者は「depositInternal()」と「swapToSwap()」を繰り返し呼び出すことで、現在のコントラクトの資産を無制限に使用する許可を取得し、コントラクト内のすべての資産を盗むことができます。
影響を受ける契約アドレスの 1 つ: https://bscscan.com/address/0x818e2013dd7d9bf4547aaabf6b617c1262578bc7
脆弱性トランザクション
脆弱性アドレス: https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c
脆弱性トランザクションのサンプル: https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063
盗まれた資金の追跡: https://debank.com/profile/0x73b359d5da488eb2e97990619976f2f004e9ff7c/history
関連アドレス
攻撃者のアドレス: https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c
攻撃者の契約: https://bscscan.com/address/0x9a843bb125a3c03f496cb44653741f2cef82f445
FEG トークンのアドレス: https://bscscan.com/token/0xacfc95585d80ab62f67a14c566c1b7a49fe91167
FEG ラップ BNB(fBNB): https://bscscan.com/address/0x87b1acce6a1958e522233a737313c086551a5c76#code
攻撃ステップ
次の攻撃フローは、この脆弱性トランザクションに基づいています: https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063
① 攻撃者は 915 WBNB を借りて、116 BNB を fBNB に入金します。
② 攻撃者は後続の攻撃に使用するために 10 個のアドレスを作成しました。
③攻撃者は「depositInternal()」を呼び出してコントラクトFEGexPROにfBNBをデポジットします。
「_balances2[msg.sender]」は、現在のアドレスの残高に応じてインクリメントされます。
④ 攻撃者は「swapToSwap()」を呼び出します。パスパラメータは以前に作成されたコントラクトのアドレスです。
この関数により、「パス」は FEGexPRO コントラクトの 114 fBNB を取得できるようになります。
⑤ 攻撃者は「depositInternal()」と「swapToSwap()」を繰り返し呼び出し(手順③、④)、以下の理由により複数のアドレス(手順②で作成)によるfBNBトークンの取得を許可します。
"depositInternal()" が呼び出されるたびに、_balance2[msg.sender] は約 114 fBNB ずつ増加します。
「swapToSwap()」が呼び出されるたびに、攻撃者が作成したコントラクトは114 fBNBの使用許可を取得することができます。
⑥攻撃者は10個のアドレスを管理しているため、各アドレスは現在のアドレスから114 fBNBを消費できるため、攻撃者は攻撃されたコントラクト内のすべてのfBNBを盗むことができます。
⑦ 攻撃者は④⑤⑥を繰り返し、コントラクト内のFEGトークンを使い果たします。
⑧ 最後に、攻撃者は枯渇した資産をすべて売却し、フラッシュローンを返済し、最後に残りの利益を受け取ります。
資産の所在
2022年5月16日6時43分の時点で、盗まれた資金はイーサリアムとBSCの両方のチェーン上の攻撃者のウォレット(0x73b359d5da488eb2e97990619976f2f004e9ff7c)にまだ保管されていた。
イーサリアムおよび BSC 上の Tornado キャッシュからの元の資金: https://etherscan.io/tx/0x0ff1b86c9e8618a088f8818db7d09830eaec42b82974986c855b207d1771fdbe
https://bscscan.com/tx/0x5bbf7793f30d568c40aa86802d63154f837e781d0b0965386ed9ac69a16eb6ab
攻撃者は13 の FEGexPRO 契約を攻撃しました。概要は次のとおりです。
有益なレポートを通じて仮想通貨業界の幅広い理解を得て、志を同じくする他の著者や読者との詳細な議論に参加してください。拡大している Coinlive コミュニティにぜひご参加ください。https://t.me/CoinliveSG
コメントを追加する
ログインあなたの素晴らしいコメントを残すために…
0 コメント
最も早い
コメントをさらに読み込む
に関するその他のニュース certik
に関するその他のニュース certik
- Edmund
CertiK、「Hack3d: 2023年版Web 3.0セキュリティ年次報告書」を発表
過去1年間のWeb3.0領域におけるセキュリティ・インシデントの統計と分析を通じて、Web3.0セキュリティの最新動向を全方位的に明らかにする。
JinseFinanceCertiK:コスモスのエコ・セキュリティを解体し、Web3の星への旅を支援する
Cosmosはブロックチェーンの相互運用性を向上させ、異なるブロックチェーン間の効率的な相互運用を可能にすることに注力している。CelestiaとdYdX v4を含む一連の主要プロジェクトは、Cosmos SDKとIBCプロトコルに基づいて構築されています。
JinseFinanceSolana社、佐賀県携帯電話のCertiKビデオによるセキュリティ上の懸念に反論
CertiKはソラーナ・サーガの安全性について疑問を呈しているが、ソラーナは強化されたシード・ボールト技術の弾力性と市場に与えた影響の実証によって、その立場を擁護している。
KikyoCertiK Partners with Alibaba Cloud to Bring Blockchain Security to the Cloud
Web3 developers can now accelerate their development process and secure their applications and smart contracts.
OthersCertiK は、6 か月で 3 回目の BAYC セキュリティ侵害を受けて、セキュリティのヒントを共有します
CertiK によると、投資家は無料の NFT 景品だけでなく、彼らがやり取りするサイトの小さな特徴にも非常に懐疑的である必要があります。
CointelegraphCalyx Token Certik Audit が 85% に達しました。イーサリアム (ETH) とソラナ (SOL) は大きな投資機会になるかもしれません
Calyx Token (CLX) は、マルチチェーン暗号取引と流動性ソーシングを可能にするように設計された、許可のないコミュニティ運営の新しい流動性プラットフォームです...
BitcoinistYasha の Certik による最近の大規模なスマート コントラクト監査
ブロックチェーンを使用する最も重要な利点の 1 つは、強化されたセキュリティです。しかし、誰もが深く関わっているように...
BitcoinistCertiKはCryptoCarsを誤報の「敷物を引っ張る」ものとして特定
このエラーは、プロジェクトのメイン サイトでの Web サイトの一時的な停止などが原因で発生しました。
CointelegraphWeb3 セキュリティの需要が高まる中、SoftBank が CertiK の 6000 万ドルの資金調達をリード
Web3 は、ブロックチェーン ネイティブ ビジネスに多くの機会を生み出していますが、重大なセキュリティの脆弱性も生み出しています。
Cointelegraph