DOGE:黑客四連擊，近期項目被攻擊事件分析-ODAILY

北京時間2022年4月24日下午4時33分，CertiK審計團隊監測到WienerDOGE項目被惡意利用，造成了3萬美元的損失。攻擊者利用WDODGE的收費機制和交換池之間的不一致，發起了攻擊。

事件發生的根本原因是：通過緊縮的代幣合約造成發送方的LP對沒有被排除在轉賬費用之外。因此，攻擊者能夠將LP對中的通貨緊縮代幣耗盡，進而導致貨幣對價格失衡。

而隨后于同一天內接連發生了另外三起惡意利用：

Indexed Finance將發布信息收集工具Indexed Juris以支持其對黑客攻擊事件的上訴流程:11月1日消息，Indexed Finance 開發者 Dillon Kellar 在社交媒體上發文表示，Indexed Finance 將于近期發布一個新的信息收集工具「Indexed Juris」，該工具將幫助 Indexed Finance 收集攻擊者及利益受損者的數據，以支持 Indexed Finance 順利對攻擊者進行起訴。Dillon Kellar 同時表示，Indexed Juris 收集的數據不會直接與執法部門或法院共享，數據將首先與代理律師共享，由律師將數據交付至對攻擊事件擁有管轄權的部門。[2021/11/1 6:25:10]

下午6時20分，LastKilometer項目被閃電貸攻擊利用，造成了26495美元的損失；

動態 | PeckShield 安全播報: “假EOS”攻擊再出現 又一EOS競猜類游戲遭黑客攻擊:據 PeckShield 態勢感知平臺11月21日數據顯示：今天15:43 - 18:31之間，黑客（kuybupeykieh）向EOS競猜游戲合約（vegasgame111）發起攻擊，共計獲利數百個EOS，追蹤鏈上數據發現，為了防止資金流向被追蹤，該黑客采用多達幾十次的創建子賬號操作來順序轉移所獲資產。PeckShield 安全人員分析發現，該黑客利用的是“假EOS”漏洞實施攻擊，這一漏洞在10月份較為普遍，不過隨著多數開發者合約開發趨于規范，類似攻擊事件已經很少。一些較小規模的游戲還可能還存在類似漏洞，PeckShield在此提醒廣大游戲開發者和游戲玩家，警惕安全風險。[2018/11/21]

晚上9時45分，Medamon項目被閃存貸攻擊利用，造成3159美元的損失；

精選 | 騰訊安全報告：黑客攻擊在上半年造成了20億美元的損失:根據騰訊安全提供的數據顯示，與數字數字貨幣有關的黑客攻擊事件，從 2013 年到 2018 年（上半年）直接增加了大約五倍的數量，全年預計增加 10 倍左右，其中僅今年上半年，黑客對數字數字貨幣的攻擊就已經直接造成 20 億美元的損失。其中，因為交易所問題而造成損失的事件正在增多，一方面是缺乏法律監管帶來的黑客肆意妄為，另一方面技術防護體系和監控程度也不如證券交易所和銀行，再加上數字數字貨幣的匿名性所帶來的低風險、高回報，數字貨幣行業也成為了黑客刀下的完美肥羊。[2018/8/16]

緊接著，PI-DAO項目被閃存貸攻擊利用，造成了6445美元的損失。

黑客每小時會攻擊19萬個WordPress站點，利用它們挖掘門羅幣:歐盟執法機構歐洲刑警組織Europol表示，對于犯罪販子來說，比特幣正在“失去光彩”，其他加密數字貨幣正在地下流行，包括門羅幣、以太幣和Zcash。根據安全公司Wordfence的數據，黑客每小時會攻擊19萬個WordPress站點，利用它們挖掘門羅幣。[2018/1/8]

這一系列攻擊的攻擊者與攻擊方法，與同一天早些時候發生的WienerDOGE相同。

攻擊步驟

①攻擊者通過閃電貸獲得了2900枚BNB。

②攻擊者將2900枚BNB換成了6,638,066,501,83枚WDOGE。

●LP的狀態：

○WdogE:199,177,850,468

○WBNB:2978

③將5,974,259,851,654枚WDOGE發送到LP，由于WDOGE比BNB多，所以LP現在處于不平衡狀態。

●LP的狀態：

○WDOGE:5,178,624,112,169

○WBNB:2978

④調用skim()函數，從LP中取回4,979,446,261,701枚WDOGE。由于攻擊者在調用skim()之前發送了大量的WDOGE，所以LP將支付大量的費用。這一操作清空了LP內的WDOGE的數量。

攻擊者還調用可sync()函數來更新LP內的儲備值。若干枚WDOGE和2978枚BNB的存在，造成了WDOGE的價格與WBNB相比異常昂貴。

⑤最后，攻擊者用剩下的WDOGE換回了2978枚BNB，償還了閃電貸，賺取了78枚BNB。

而其他幾個項目被攻擊的流程步驟也相似：

閃電貸取得WBNB，并用WBNB換取LP中的通縮代幣；

直接將通縮的代幣轉移到LP對上；

調用skim()函數，迫使LP對輸回通縮代幣；

由于轉讓費的存在，攻擊者會重復步驟2~3，將LP對中的通縮代幣耗盡；

通過LP對中的價格不平衡來獲取利潤。

漏洞分析

當用戶轉移一定數量的WDOGE時，除了費用，還有4%的代幣將被銷毀。

因此，如果LP發送100枚WDOGE，其余額將減少104枚WDOGE。

所以，LP應該被排除在費用和代幣銷毀之外。

資產去向

寫在最后

如果同時對代幣和LP合約進行審計，這一風險因素就可以被發現。

然而，如果只有代幣合約被審計，那么交換機制將被視為一個外部依賴。

而這種情況在審計過程中將會指出第三方依賴風險。具體為：如果是代幣合約，CertiK審計專家將會與項目方討論，確認是否需要除去LP對的手續費；如果是LP對方的合約，CertiK審計專家會提出通縮幣的討論，并且提醒項目方可能存在的風險。

Tags：DOGEDOGWDOWDOGEADOGE價格DOGGER幣維度幣wdoNEWDOGE

XRP