#Gate BTC链上质押收益百分之三#
亲爱的动态用户们,Gate BTC质押挖矿活动火热进行中!0.001 BTC起投,支持快速质押赎回,多种 PoS 质押策略可选,按1:1比例 BTC 兑换 GTBTC,每日轻松赚取丰厚奖励!基础年化收益率2%,在Gate Web3钱包完成简单任务,次日可获额外1%奖励,年化收益高达3%,活动期间持续有效!
参与方式非常简单:只需质押BTC,即可自动兑换GTBTC参与挖矿,奖励每日发放至您的账户,让BTC轻松实现增值。立即参与,开启BTC增值之旅!👉 https://www.gate.com/staking/BTC
此外,欢迎大家积极带上 #Gate BTC链上质押收益百分之三# 话题发帖分享质押经验、收益截图、质押攻略等内容,与其他动态用户一起共赢奖励!每日打卡发帖晒收益,即可轻松赚社区成长值,解锁评论高亮、动态装饰、月度抽奖等多重权益。月度抽奖奖品包括 iPhone 16、精美周边、热门代币等超值好礼!
更多成长值任务,请在【动态】头像旁点击成长值图标查看。
Arbitrum 公链又一项目发生 Rug Pull,涉及金额约 300 万美元
撰文:Beosin
2022 年 5 月 19 日,据 Beosin-EagleEye 态势感知平台消息,Arbitrum 公链上项目 Swaprum 项目疑是发生 Rug Pull,涉及金额约 300 万美元。
Beosin 安全团队第一时间对事件进行了分析,发现了项目方部署的流动性抵押奖励池存在后门,项目方(Swaprum: Deployer)利用了 add() 后门函数盗取了用户抵押的流动性代币,以达到移除交易池子的流动性获利的目的。
事件相关信息
攻击交易(由于存在大量的攻击交易,这里仅展示部分)
攻击者地址
0xf2744e1fe488748e6a550677670265f664d96627**(Swaprum: Deployer)**
漏洞合约
0x2b6dec18e8e4def679b2e52e628b14751f2f66bc
(TransparentUpgradeableProxy Contract)
0xcb65D65311838C72e35499Cc4171985c8C47D0FC
(Implementation Contract)
攻击流程
为了方便展示我们以其中两笔交易为例:
调用 add 后门函数盗取流动性代币)
移除流动性获利)
2.通过将实现合约反编译后,add() 函数确实存在后门。该后门函数会将合约中的流动性代币转账给_devadd 地址【通过查询_devadd 地址,该地址返回为 Swaprum 项目方地址(Swaprum: Deployer)】。
3.Swaprum 项目方 (Swaprum: Deployer) 利用第一步盗取的流动性代币移除流动性代币从而获取大量的利益。
4.值得注意的是,项目方原本的流动性抵押合约并无漏洞,而是通过升级的方式将正常的流动性抵押奖励合约
(
替换为了含有后门的流动性抵押奖励合约
(
漏洞分析
本次攻击主要原因是Swaprum 项目方利用了代理合约可切换实现合约的功能,将正常的实现合约切换至存在后门函数的实现合约,从而后门函数盗取了用户抵押的流动性资产。
资金追踪
截止发文时,Beosin KYT 反洗钱分析平台发现被盗的约 1628 个 ETH(约 300 万美金)资金已跨链至以太坊上,并且向 Tornado Cash 存入了 1620 个 ETH。