去年4月19日,Layer 2 DeFi 借贷协议 EasyFi首创人兼 CEO Ankitt Gaur 称,「有大量 EASY 代币从 EasyFi 官方钱包大量转移到以太
坊网络和 Polygon 网络上的几个未知钱包。有人攻击了治理密钥或助记词。黑客乐成获取了治理员密钥,并从协议池中以 USD/DAI/
USDT 形式转移了 600 万美元的现有流动性资金,并将 298 万枚 EASY 代币(约占 EASY 代币总供应量的 30%,现在价值 4090 万美
元)转移到了疑似黑客的钱包中。」
SharkTeam第一时间对此事务举行了攻击剖析和手艺剖析,并总结了清静提防手段,希望后续的区块链项目可以引以为戒,共筑区块
链行业的清静防线。
攻击剖析
通过起源剖析,Force DAO合约中的误差主要在xFORCE合约代码ForceProfitSharing.sol上。该误差令所有人都可以在没有FORCE的
时间,铸造xFORCE。然后再将新铸造的xFORCE交流为FORCE
1.最迟通过EasyFi项目的官偏向中央地址(0x222def1dfeeaed8202491cdf534e4efff3268666)发送了8800000 EASY
2.该中央地址划分像两个受害者地址(0x0c08d0fe35515f191fc8f0811cadcfc6b2615b7)
(0xf59c2e9d4ab5736a1813738e5aa5c3f5eaf94d9e)发送了2,700,000和2,000,000个 EASY。
3.攻击者0x83a2eb63b6cc296529468afa85dbde4a469d8b37使用两受害者的账户向攻击者的账户划分转账了
1,035,555.826203866010956193和1,799,990个EASY。生意营业的纪录。
在完成攻击获取到大量EASY数字资产后,该攻击者接着在Uniswap中将EASY置换为USDC。
凭证整个攻击历程的剖析,基础缘故原由在于攻击者可以使用被攻击者的账户地址挪用合约,窃取受害者私钥授权合约执行并向攻击者地
址举行大额数字资产的转账
清静提防
1、不要随意执行泉源不明的二维码和链接;
2、不要泄露自己任何的敏感信息;
3、不截屏或者照相生涯私钥或助记词;
4、不在不清静的情形下使用钱包或者导出私钥、助记词。