比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > Luna > Info

SAFE:SafeDollar 歸零 Polygon生態的“潘多拉魔盒”已打開?

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間6月28日,鏈必安-區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)輿情監測顯示,Polygon生態算法穩定幣項目SafeDollar遭到黑客攻擊。攻擊事件發生后,SafeDollar項目所發行的穩定幣(SDO)價格從1.07美元,瞬間跌至歸零。

有消息指出,一份未經證實的合約抽走了25萬美元的USDC和USDT;后經Rugdoc.io分析證實,此次攻擊事件中黑客總共獲利價值25萬美元的USDC和USDT。隨后,SafeDollar項目方發布公告,要求投資者停止所有與SDO相關的交易。目前,SDO交易已暫時中止。

鑒于此次攻擊事件所具備的標志意義,成都鏈安·安全團隊第一時間介入分析。繼5月初BSC(幣安智能鏈)諸多鏈上項目頻頻被黑之后,6月末Polygon生態也開始被黑客盯上,“潘多拉魔盒”是否已經悄然開啟?借此事件,成都鏈安通過梳理攻擊流程和攻擊手法,提醒Polygon生態項目加強安全預警和防范工作。

SafeDAO社區發布SAFE Token效用提案討論:1月28日消息,SafeDAO社區發布SAFE Token效用提案討論,其認為應該利用Safe前端來捕獲價值,價值增量將轉移給SAFE持有者。提案建議添加SAFE Staking模塊和dAPPs的白名單模塊,通過集成隊列(Integration Queue)和應用程序市場(App Marketplace)構建通過代碼開放和實施的流程和規則來解決Safe生態系統中現有的低效率問題。[2023/1/29 11:34:28]

二、事件分析

此次攻擊事件中,攻擊者利用PLX代幣轉賬時實際到賬數量小于發送數量以及SdoRewardPool合約抵押和計算獎勵上存在的邏輯缺陷,借助“閃電貸”控制SdoRewardPool合約中抵押池的抵押代幣數量,進而操縱獎勵計算,從而獲得巨額的SDO獎勵代幣,最后使用SDO代幣將SDO-USDC和SDO-USDT兩種兌換池中USDC和USDT全部兌換出來。

非托管多簽錢包MSafe宣布在Aptos啟動:10月10日消息,Aptos/MOVE生態、非托管多簽錢包解決方案Momentum Safe (MSafe) 宣布啟動,旨在為Move用戶提供安全性和用戶體驗。

據介紹,Momentum Safe由工程師Wendy F(Diem的Novi錢包團隊的前高級工程師)和Jacky W(Harmony的前高級區塊鏈工程師)組成的高成就團隊創建。

在短期內,Momentum Safe的目標是通過增加另一層安全性來保護用戶錢包、資產、代碼和賬戶,以及支持在MOVE上運行的合法業務/項目/DAO的安全基礎設施,從而增強Move生態系統的安全性。

從長遠來看,Momentum Safe致力于降低web2企業進入web3領域的門檻。[2022/10/10 10:29:03]

攻擊者地址:

美國國稅局通過MY Safra銀行傳票追捕加密逃稅者:金色財經報道,美國地區法官Paul G.Gardephe批準的法院命令授權美國國稅局向MY Safra銀行發出傳票,要求提供有關可能未在納稅申報表上報告其加密交易的SFOX客戶的信息。MY Safra Bank于2019年與SFOX合作,為SFOX用戶提供現金存款銀行賬戶的訪問權限。

美國國稅局已確定至少10名SFOX用戶未能按照法律要求報告其加密交易。(theblock)[2022/9/23 7:16:39]

0xFeDC2487Ed4BB740A268c565daCdD39C17Be7eBd

攻擊合約:

0xC44e71deBf89D414a262edadc44797eBA093c6B0

0x358483BAB9A813e3aB840ed8e0a167E20f54E9FB

SAFE創始人因分歧考慮遷移或創建新幣,SAFE 24小時跌幅近74%:Continue Capital聯合創始人在微博表示,SAFE創始人爆料,有可能遷移token甚至重新創建一個新幣,也能體會到要做到公平分發是一件多么困難的事。

操作手法基本是:因為SAFE的1池、2池都是單幣池,需要投保才能生成,有人(Azeem Ahmed)在公布4池(SAFE/Dai池,本質就是SAFE的價格池)之前利用消息就大量投保買了很多yNFT covers,這樣就占據1池、2池大量份額,并且在價格池4池上線后,別人都很難進入1/2池子,在各種引發Fomo吸引鎖倉推高價格之后,直接砸到4池獲利。

據悉,SAFE(Yieldfarming.Insure)是一個通過購買保險來挖礦的DeFi產品。CoinGecko行情顯示,SAFE現報546.35美元,24小時跌幅73.9%。[2020/9/16]

攻擊交易:

美國證券TOKEN和SAFT協定認可度提升:根據Elementus Protocol顯示,在SEC填寫FORM D表格以注冊發行證券(TOKEN或者可轉換TOKEN的形式)的機構逐漸增多,去年4月17日僅有1家申請,而今年3月18日該數字上升到38家。[2018/4/27]

0xd78ff27f33576ff7ece3a58943f3e74caaa9321bcc3238e4cf014eca2e89ce3f

0x4dda5f3338457dfb6648e8b959e70ca1513e434299eebfebeb9dc862db3722f3

0x1360315a16aec1c7403d369bd139f0fd55a99578d117cb5637b234a0a0ee5c14

以下分析基于以下兩筆交易:

攻擊者首先使用PolyDex的WMATIC和WETH池進行PLX借貸,如下圖所示:

接下來,攻擊者通過攻擊合約反復進行抵押提取,主要是為了減少SdoRewardPool合約中SDO抵押池中的抵押代幣數量。

PLX代幣合約進行代幣轉移時,如果from地址不在_isExcludedFromFee列表中,并且to地址也不在_isExcludedToFee列表中,會對轉移的代幣收取一次獎勵基金以及銷毀本次轉移代幣數量的0.05%。

而在SdoRewardPool合約中,記錄的數量為調用者所轉移的數量,沒有減去轉移過程中損耗的部分,在進行提取操作時,提取的數量為記錄的數量,超出了用戶實際抵押到本合約的數量,故會造成該抵押池中抵押代幣的異常減少。

攻擊者事先通過攻擊合約

(0x358483BAB9A813e3aB840ed8e0a167E20f54E9FB)在該抵押池中抵押214.235502909238707603 PLX,在攻擊合約

(0xC44e71deBf89D414a262edadc44797eBA093c6B0)攻擊完成后,控制攻擊合約

(0x358483BAB9A813e3aB840ed8e0a167E20f54E9FB)在該抵押池中進行獎勵領取,由于SdoRewardPool合約中更新抵押池信息時使用的是balanceOf函數獲取本合約中抵押代幣數量,故獲取到的數量是惡意減少之后的數量,繼而造成PLX抵押池中accSdoPerShare變量異常增大,從而獲取到巨額的SDO代幣獎勵。

最后利用獲取到的SDO代幣將SDO-USDC和SDO-USDT兩種兌換池中USDC和USDT全部兌換出來。

三、事件復盤

事實上,此次攻擊事件并不復雜,但是值得引起注意。首先添加抵押池時添加了非標準代幣,再加上計算獎勵時使用了balanceOf函數進行抵押代幣數量的獲取,所以導致了此次攻擊事件的發生。

從安全審計的角度看,項目方作為添加抵押池的管理員,對于將要添加的抵押池中的抵押貸幣,一定要三思而后行。通脹通縮類以及轉移數量與實際到賬數量不同的代幣,不建議作為抵押池的抵押代幣;如果因業務需要一定要添加這些類型的代幣作為獎勵代幣,務必與其他標準代幣分開處理。同時在抵押池中建議使用一個單獨的變量作為抵押數量的記錄,然后計算獎勵時,使用通過此變量來獲取抵押代幣數量,而不是使用balanceOf函數。

另外,此次攻擊事件對于Polygon生態鏈上項目而言,是否會是一個“危險信號”,Polygon生態的“潘多拉魔盒”是否會就此打開,這還需要觀望后續態勢發展。不過,回望5月,BSC生態發生第一起閃電貸攻擊之后,便就此拉開了“BSC黑色五月”序幕。鑒于前車之鑒,成都鏈安在此提醒,Polygon生態鏈上項目未雨綢繆,切實提高安全意識!

Tags:SAFESDOUSDOLYSAFEW價格wisdomisthewealthofthewiseMUSDpolygon幣當前行情

Luna
比特幣:為什么說比特幣對未來實現豐沛的清潔能源非常關鍵?

「令人作嘔且違背了人類文明」的比特幣對地球能源結構的影響究竟如何?這個值得深入研究,且應該進行全面思考.

1900/1/1 0:00:00
區塊鏈:虛擬幣挖礦“逃向”海外 產業區塊鏈如雨后春筍蓬勃發展

進入6月份后,我國對虛擬幣交易、挖礦的監管力度進一步加強,延續了5月份以來的從嚴監管政策。一方面,多部門提示虛擬幣交易、炒作風險,從銀行和支付端出重拳打擊;另一方面,多地全面清退挖礦企業,從比特.

1900/1/1 0:00:00
區塊鏈:金色早報 | 倫敦硬分叉預計于8月4日在以太坊主網激活

頭條 ▌倫敦硬分叉預計于8月4日在以太坊主網激活金色財經報道,以太坊核心開發人員會議已于北京時間10日凌晨結束.

1900/1/1 0:00:00
FTX:專訪零幺宇宙:隱私計算走在何處 去往何方?

“我們如何理解隱私計算?我們如何應用隱私計算?”這似乎是目前隱私計算領域發展最核心的兩個問題。這恰巧反應了技術發展在面對c端和b端時表現出的差異性:c端面對的是公用、普惠、單一、低成本需求,b端.

1900/1/1 0:00:00
區塊鏈:金色觀察 | “十四五”期間 區塊鏈在這些省市有了明確發展方向

今年3月,《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》(下稱《十四五規劃綱要》)由第十三屆全國人民代表大會第四次會議審查批準通過,并正式向社會公布.

1900/1/1 0:00:00
區塊鏈:蹭數字貨幣熱點被問詢 科藍軟件的1億元長治區塊鏈項目怎樣了?

整個6月,科藍軟件股價上漲了63.17%,特別是6月7日至6月24日期間,其股價由22元飆升至51元,漲幅高達231.8%.

1900/1/1 0:00:00
ads