WBNB:創宇區塊鏈：bDollar項目遭受攻擊，價格如何能成為一把利器？-ODAILY

前言

北京時間2022年4月30日，知道創宇區塊鏈安全實驗室監測到BSC鏈上的bDollar項目遭到價格操縱攻擊，導致損失約73萬美元。

知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

基礎信息

攻擊者地址：0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e

攻擊合約：0x6877f0d7815b0389396454c58b2118acd0abb79a

CryptoQuant：BTC持有者正在以最大的幅度獲利了結短期利潤:金色財經報道，BTC 在過去兩周上漲了 17% 以上，周四價格短暫突破 29,000 美元，隨后回落至 28,500 美元左右。ETH和XRP等主要代幣在 24 小時內下跌，暫停了多日的漲勢。

CryptoQuant 分析師表示，鏈上數據顯示了在比特幣當前反彈背景下值得注意的三個條件：短期持有者正在以一年多來的最高利潤率獲利了結。大型比特幣持有者（巨鯨）最近的支出活動有所增加，而他們的持有量略有下降。價格估值勢頭正在上升至高估區域。[2023/3/30 13:35:20]

tx：0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4

OpenAI CEO旗下加密項目Worldcoin推出身份協議World ID及SDK:3月14日消息，OpenAI 首席執行官 Sam Altman 創立的加密貨幣公司 Worldcoin 推出身份協議 World ID 及相應 SDK（軟件開發工具包）。World ID 定位為 Worldcoin 的底層身份協議，由零知識密碼學提供支持，人們可以通過 World ID 來證明自己身份，同時保持匿名。

此前報道，2 月 10 日，知情人士稱 Worldcoin 希望以 30 億美元的估值融資至多 1.2 億美元，且本輪融資包括股權和 Token 融資。[2023/3/14 13:03:16]

CommunityFund合約：0xEca7fC4c554086198dEEbCaff6C90D368dC327e0

FTX US針對Voyager用戶的提前索賠計劃正在接受得克薩斯州證券委員會審核:10月17日消息，據Barron's報道，FTX US針對Voyager用戶的提前索賠計劃正在接受得克薩斯州證券委員會審核。（巴倫周刊）[2022/10/18 17:29:49]

漏洞分析

漏洞關鍵在于CommunityFund合約中的claimAndReinvestFromPancakePool方法在使用Cake代幣進行代幣轉換時，會對換取的WBNB數量進行判斷并且會自動把換取的WBNB的一半換為BDO代幣；而之后合約會自動使用合約中的WBNB為池子添加流動性，若此時BDO代幣的價值被惡意抬高，這將導致項目方使用更多的WBNB來為池子添加流動性。

嗶哩嗶哩將于8月9日上線干杯！故宮系列數字藏品:8月9日消息，嗶哩嗶哩干杯與故宮宮苑首款聯名數字藏品干杯！故宮將于 8 月 9 日登場，預約報名已開啟。作為中華文明的集大成者，故宮擁有非常豐富的館藏文物、建筑藝術和歷史文化，干杯將這些元素融入到數字藏品頭像的設計中，旨在通過數字藏品，展現故宮之美。

本期干杯！故宮共分四個主題，包括以故宮館藏書畫文物中的人物形象創作而成的名畫復刻款，以麒麟、獅子、御貓等萌獸組成的宮廷萌獸款，以及明清帝王、后宮妃嬪、文武百官形象的宮廷日常款，還有囊括百行百業、才子佳人的京城百姓款。共發售 1925 枚，以紀念故宮博物院 1925 年建院，另有 75 枚官方將作為活動獎品空投給到指定用戶。此外，本期數字藏品將繼續對干杯收藏家們賦予抽簽加權福利。[2022/8/9 12:12:45]

而最為關鍵的是，攻擊者實施攻擊前，在WBNB/BDO、Cake/BDO、BUSD/BDO池子中換取了大量BDO代幣導致BDO價格被抬高。

在我們對攻擊交易進行多次分析之后，發現事情并沒有那么簡單，該次攻擊極有可能是被搶跑機器人搶跑交易了，依據如下：

1、該筆攻擊交易比BSC鏈上普通交易Gas費高很多，BSC鏈上普通交易默認Gas費為5Gwei，而該筆交易竟高達2000Gwei。

2、我們發現該攻擊合約與攻擊者地址存在多筆搶跑交；

3、我們在相同區塊內找尋到了真實攻擊者的地址與交易，該交易被回滾了。

攻擊流程

1、攻擊者使用閃電貸貸款670枚WBNB；

2、之后攻擊者將WBNB在各個池子中換取大量BDO代幣；

3、隨后攻擊者再次使用閃電貸貸款30516枚Cake代幣；

4、將貸款的Cake代幣進行swap，換取400WBNB，其中200枚被協議自動換取為BDO代幣；

5、攻擊者將WBNB換取Cake代幣用于歸還閃電貸；

6、最后，攻擊者將升值后的3,228,234枚BDO代幣換取3020枚WBNB，還款閃電貸671枚，成功套利2381枚WBNB價值約73萬美元。

總結

本次攻擊事件核心是合約會為流動性池自動補充流動性，而未考慮代幣價格是否失衡的情況，從而導致項目方可能在價格高位對流動性進行補充，出現高價接盤的情況。

建議項目方在編寫項目時多加注意函數的邏輯實現，對可能遇到的多種攻擊情況進行考慮。

在此提醒項目方發布項目后一定要將私鑰嚴密保管，謹防網絡釣魚，另外，近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：WBNBBDOBNBWORLDwbnb和bnb區別BACKSTABDOGEtogetherbnb薇拉雙人互動ZOO Crypto World

以太坊價格