📢 Gate廣場 #MBG任务挑战# 發帖贏大獎活動火熱開啓!
想要瓜分1,000枚MBG?現在就來參與,展示你的洞察與實操,成爲MBG推廣達人!
💰️ 本期將評選出20位優質發帖用戶,每人可輕鬆獲得50枚MBG!
如何參與:
1️⃣ 調研MBG項目
對MBG的基本面、社區治理、發展目標、代幣經濟模型等方面進行研究,分享你對項目的深度研究。
2️⃣ 參與並分享真實體驗
參與MBG相關活動(包括CandyDrop、Launchpool或現貨交易),並曬出你的參與截圖、收益圖或實用教程。可以是收益展示、簡明易懂的新手攻略、小竅門,也可以是現貨行情點位分析,內容詳實優先。
3️⃣ 鼓勵帶新互動
如果你的帖子吸引到他人參與活動,或者有好友評論“已參與/已交易”,將大幅提升你的獲獎概率!
MBG熱門活動(帖文需附下列活動連結):
Gate第287期Launchpool:MBG — 質押ETH、MBG即可免費瓜分112,500 MBG,每小時領取獎勵!參與攻略見公告:https://www.gate.com/announcements/article/46230
Gate CandyDrop第55期:CandyDrop x MBG — 通過首次交易、交易MBG、邀請好友註冊交易即可分187,500 MBG!參與攻略見公告:https://www.gate.com/announcements
Arbitrum 公鏈又一項目發生Rug Pull,涉及金額約300 萬美元
撰文:Beosin
2022 年5 月19 日,據Beosin-EagleEye 態勢感知平台消息,**Arbitrum 公鏈上項目Swaprum 項目疑是發生Rug Pull,涉及金額約300 萬美元。 **
Beosin 安全團隊第一時間對事件進行了分析,**發現了項目方部署的流動性抵押獎勵池存在後門,項目方(Swaprum: Deployer)利用了add() 後門函數盜取了用戶抵押的流動性代幣,以達到移除交易池子的流動性獲利的目的。 **
事件相關信息
攻擊交易(由於存在大量的攻擊交易,這裡僅展示部分)
攻擊者地址
0xf2744e1fe488748e6a550677670265f664d96627**(Swaprum:部署者)**
漏洞合約
0x2b6dec18e8e4def679b2e52e628b14751f2f66bc
(透明可升級代理合約)
0xcb65D65311838C72e35499Cc4171985c8C47D0FC
(執行合同)
攻擊流程
為了方便展示我們以其中兩筆交易為例:
調用add 後門函數盜取流動性代幣)
移除流動性獲利)
2.通過將實現合約反編譯後,add() 函數確實存在後門。該後門函數會將合約中的流動性代幣轉賬給_devadd 地址【通過查詢_devadd 地址,該地址返回為Swaprum 項目方地址(Swaprum: Deployer)】。
3.Swaprum 項目方(Swaprum: Deployer) 利用第一步盜取的流動性代幣移除流動性代幣從而獲取大量的利益。
4.值得注意的是,項目方原本的流動性抵押合約並無漏洞,而是通過升級的方式將正常的流動性抵押獎勵合約
(
替換為了含有後門的流動性抵押獎勵合約
(
漏洞分析
本次攻擊主要原因是**Swaprum 項目方利用了代理合約可切換實現合約的功能,將正常的實現合約切換至存在後門函數的實現合約,從而後門函數盜取了用戶抵押的流動性資產。 **
資金追踪
截止發文時,Beosin KYT 反洗錢分析平台發現被盜的約1628 個ETH(約300 萬美金)資金已跨鏈至以太坊上,並且向Tornado Cash 存入了1620 個ETH。