首先,昨天在 QIAN 的社区里有用户反馈铸币挖矿收益异常减少。经过今天技术团队的排查,发现是 KUN 铸币挖矿合约一个内部调用的接口,权限设置有问题,被某个攻击者手工构造参数调用了,在绝大部分的币种挖矿上虚构了大数量的挖矿比重,对应币种里挖的 KUN 大部分都被他拿去了,所以昨天开始所有参与 QUSD 铸币挖矿的用户,收益就变得非常小。这个权限漏洞被攻击者利用,导致 KUN 铸币挖矿在 ETH 和 BSC 两个环境里都受到了影响。
再说一下现在的处理情况,ETH 和 BSC 两个环境里已经都把代码的漏洞进行了修改,也将攻击者的地址放入了 KUN 合约的黑名单。
事件影响:攻击者在 ETH 的 QIAN 拿走了周六的铸币挖矿虚增收益,大概 8000 个 KUN,一共从 Balancer 兑换出了 2.5 万个 QUSD,接着从 s.finance 换成了 USDC ,最后通过 Uniswap 换了 55 个 ETH。攻击者在 BSC 上还没来得及拿走收益,目前其 KUN 的转账权限已经在 BSC 链进行了冻结。铸币挖矿方面,受影响的币种挖矿的数据目前已恢复到正常值,收益已正常显示并且可以提取。
后续的工作,团队首先会把这期间受到影响的用户,补上应该发放的 KUN,大概一两天左右能全部处理完毕。我们目前也通过以太坊转账附带信息的方式在联系攻击者,要求其退还攻击所得。从链上查到其地址有一笔和 Binance 交易所提币的交易,这一行为有助于我们定位其身份。
这是攻击者的地址:
0x35d16cdedd9fb9eeeb074e510bad322f26e64918,我们从其交易的时间段上观察判断,应该是中国人,或是亚洲地区的用户
我也是今天刚听的消息 真心难受 本来认为是Qian团队弄的东西 应该绝对有保障 满仓梭哈 铸造了11万的q 哪知道11月7号晚上8点 bsc上Equator里面砸了5000个kun 价格瞬间2.75砸到1.85 接下去大户开始撤lp拼命逃了 当时好害怕 在群里问项目方根本没人回答出了什么事 11万刀啊 害怕踩踏直接没了 发现已经损失3000多刀了 这价格才跌一倍无常损失也不对 忍痛割了 我看都是信任冲项目方来的 居然是合约有漏洞引起的血案 真是伤透了心 不知道项目方有没有补偿机制在 挽回下信心让我再有理由冲一次