10月27日,NUMEN实验室通过链上数据监控发现,UvToken项目遭到黑客攻击,黑客从此次攻击中获利了1078 BNB和1161991 BUSD,共计约150W美金。我们也是在第一时间对事件经过和资金流向做了分析和追踪,目前黑客已经通过Tornado.Cash进行资金转移。
项目方声明:
项目方也在推特上对本次事件做了说明,并且已经让安全公司介入。
攻击相关地址:
攻击过程:
-
黑客首先用0.5个BNB兑换为313UVT代币并转入到了0x36f277165c8b1b80cc3418719badb1864e2687bc合约中。相关交易信息如下图所示:
-
然后调用权限合约地址中的0xc81daf6e函数,传入参数时将自己创建的合约地址作为两个参数传入,这样其中v4的值可以从黑客的合约中返回,返回的数量就是项目方领取奖励合约0x36f277165c8b1b80cc3418719badb1864e2687bc下的UVT余额。
-
权限合约的0xc81daf6e函数在里面同时又去调用了领取奖励合约中的0x7e39d2f8函数,这样权限验证也可以通过,然后将合约下的UVT代币全部转走。
资金流向:
目前黑客已经将所有获利的代币通过Tornado.Cash进行转移,NUMEN实验室也会持续关注资金动态。
总结:
针对本次攻击事件,NUMEN实验室提醒用户和项目方做好资产安全防护,对于项目中存在权限验证,call调用时要多方面做好安全测试和验证,以保证项目和资金安全。NUMEN实验室专注于为WEB3的安全保驾护航。
原文始发于微信公众号(Numen Cyber Labs):损失近150W美金,UvToken项目遭到黑客攻击技术分析
