DOT:Dot Finance閃電貸安全事件分析-ODAILY

前言

8月25日，知道創宇區塊鏈安全實驗室監測到BSC鏈上的DeFi協議DotFinance遭遇閃電貸襲擊，價值跌落近35%。實驗室第一時間跟蹤本次事件并分析。

涉及對象

黑客地址：

0xDFD78a977c08221822F6699AD933869Da6d9720C

過去一小時推特討論量：BTC排名第一 ADA、DOT進入前三:CoinTrendz.com數據顯示，過去一小時推特討論量排行中，BTC憑借202的討論量排名第一，ADA以153的討論量位居第二，DOT以136的討論量位居第三位。討論量排名四至十位的分別為：ETH（121）、LINK（79）、NANO（69）、TEL（22）、LTC（22）、AVAX（16）、RSR（14）。[2021/1/17 16:21:36]

攻擊合約地址：

0x33f9bB37d60Fa6424230e6Cf11b2d47Db424C879

Polkadot第一個驗證者選舉解決方案已提交，將在4小時內開啟NPoS:Polkadot創始人Gavin Wood在推特表示，Polkadot第一個驗證者選舉解決方案已提交，在4小時內將開啟的第一個NPoS （提名權益證明）。據此前報道，Polkadot宣布將進行第一次NPoS驗證者選舉。此次更改將是啟動發行過程中進一步分散Polkadot權力的下一步，從而為驗證者和提名者提供質押獎勵。據波卡官方的主網上線路線圖表示，當第一個階段PoA 運行流暢且有足夠的節點參與后，將會考慮進入下一個階段NPoS 。[2020/6/18]

受害合約地址：

聲音 | Pantera CEO：將利用Polkadot等四個區塊鏈項目解決可擴展性問題:區塊鏈投資公司Pantera首席執行官Dan Morehead今日在一份通訊文件中強調了了四個即將推出的區塊鏈項目：Polkadot、BloXroute、Origin和Filecoin。這些項目旨在解決可擴展性和互操作性問題，并激發去中心化的市場領域。Morehead表示：“自早期開發階段開始，我們就一直支持這些項目，很高興看到他們的工作產品。這不僅將為我們的ICO基金帶來更多的流動性，還將使區塊鏈基礎設施更加完善。”（The Daily Hodl）[2019/8/29]

0x16fd050f05f8fc361cf9083aa3f624a2bf7e914d0xbfca3b1df0ae863e966b9e35b9a3a3fee2ad8b07

攻擊涉及主要函數分析

分析交易哈希

0x68170a309ab2e944e178ccf9bf6f19e25a3f356031ce53539bb9669fc77172f2

swap函數

1.整個交易都始于PancakePairswap函數

2.為攻擊提供資金支持

getreward函數

1.使用balanceOf(address(this))獲取CAKE代幣余額

2.通過CAKE代幣余額來鑄造獎勵

簡要過程及原理分析

1.黑客使用PancakeSwap閃電貸獲得初始資金100Cake代幣；

2.通過將Cake代幣打入VaultPinkBNB合約，來影響getReward函數獲取合約Cake代幣真實值，同時performanceFee參數受Cake代幣真實值影響數值巨大；

3.最后mintFor函數使用受影響的performanceFee參數向黑客鑄造大量pink代幣獎勵；

總結

此次攻擊屬于PancakeBunny同類型的攻擊事件，迄今為止此類攻擊事件已發生多次，知道創宇區塊鏈安全實驗室再次提醒，近期BSC鏈上頻頻爆發攻擊事件，合約安全愈發需要得到迫切重視，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：DOTCAKEPolkadotPOL如何獲得dot幣Burnt Cakepolkadotted中文pols幣適合長期持有嗎

AVAX