关于 kun 铸币挖矿合约攻击事件的报告

QIAN 社区的伙伴们:

大家好!针对上周末的 KUN 挖矿合约攻击事件,QIAN 社区发起人 David 报告如下:

2020年11月8日深夜,David 接到社区用户反馈“铸币挖矿收益异常减少”的情况。11月9日上午,David 委托社区开发者经过排查,发现 KUN 铸币挖矿合约一个内部调用的接口权限设置存在问题,被某攻击者手工构造参数进行了调用。攻击者在绝大部分的币种挖矿上虚构了大数量的挖矿比重,因此不正当获取了11月8日大部分对应币种的挖矿奖励 KUN。这个权限漏洞被攻击者利用,导致 KUN 铸币挖矿在 ETH 和 BSC 两个环境里都受到了影响。

目前的处理结果为:ETH 和 BSC 两个环境里,代码漏洞已经修正完毕,攻击者的地址也被放入了 KUN 合约的黑名单。

事件影响:攻击者在 ETH 环境的 QIAN 不正当获取了2020年11月7日的铸币挖矿的虚增收益(约8000 KUN)。随后,攻击者通过 Balancer 兑换出了2.5 万个 QUSD,接着通过 S.Finance 换成 USDC ,最后通过 Uniswap 兑换成 55 个 ETH。

攻击者在 BSC上获取的不正当收益尚未提取,其 BSC 链 KUN 的转账权限已被冻结。
铸币挖矿方面,挖矿数据目前已恢复到正常值,收益已正常显示,并可以提取。

此外,攻击者的地址在经过一次转移之后,已经将不正当所得的 ETH 充入了币安交易所,QIAN 社区热心成员已经联系币安,币安将协助 QIAN 社区,对攻击者的地址进行冻结和黑名单处理,我们在此感谢币安给予的支持!

QIAN社区关于本次黑客攻击事件后续的重要工作如下:

  1. 目前,David 已通过以太坊转账附带信息的方式,尝试联系攻击者,要求其退还攻击所得。攻击者的地址在 BSC 链有一笔通过币安提币的交易,经过币安的调查,对应的币安账户并未进行KYC,攻击者的地址如下:0x35d16cdedd9fb9eeeb074e510bad322f26e64918。
    社区成员如果知道该地址持有者的身份,请及时联系 committee@qian.finance,后续社区治理委员会将根据社区成员提供信息的可用程度,按 Bug Bounty 标准按等级给予奖励。我们也在此告诫攻击者,智慧和技术应当得到尊重,如果攻击者能归还不正当所得,将得到 Bug Bounty 最高级别对应的奖励,同时攻击者本人的技术实力也将得到 QIAN 社区成员的认可;如果攻击者拒不归还不正当所得,QIAN 社区成员们将会行动起来,查明其真实身份,并保留采取后续行动的权力。

  2. QIAN 近日会上线治理投票,QIAN 社区的成员们将被赋予项目的治理权,可以用 KUN 代币在以太坊、BSC 两条链进行 KUN 代币锁仓并参与议案发起、投票等治理环节。

  3. 在黑客攻击期间铸币收益受到影响的用户,QIAN 发起人 David 将委托社区开发者补发对应用户应得的 KUN。

  4. KUN 挖矿合约上线前通过了社区审核,很遗憾在社区审核之后还是发生了本次攻击事件,接下来,QIAN 社区的技术开发者将邀请专业的安全审计机构对 QIAN 的代码进行二次审计,并及时发布 KUN 挖矿合约的审计报告,确保后续主合约、挖矿合约的稳定性和安全性。

David Lei
QIAN 稳定币协议社区发起人

1 Like