北京時間2022年4月24日下午4時33分,CertiK審計團隊監測到Wiener?DOGE項目被惡意利用,造成了3萬美元的損失。攻擊者利用WDODGE的收費機制和交換池之間的不一致,發起了攻擊。
事件發生的根本原因是:通過緊縮的代幣合約造成發送方的LP對沒有被排除在轉賬費用之外。因此,攻擊者能夠將LP對中的通貨緊縮代幣耗盡,進而導致貨幣對價格失衡。
而隨后于同一天內接連發生了另外三起惡意利用:
下午6時20分,LastKilometer項目被閃電貸攻擊利用,造成了26495美元的損失;
Aptos World Tour黑客松韓國首爾站將于2月1日開幕:據官方消息,2023 Aptos World Tour黑客松第一站韓國首爾站(Aptos Seoul Hack)將于2月1日上午9:00開幕,于2月3日下午結束。本次黑客松聯合組織方有Aptos Labs、Jump Crypto、NPIXEL、Hashed、Hybe、IRONGREY、SK networks。
Aptos Seoul Hack將由Aptos核心工程師親自參與,將進行為期三天的黑客攻擊和演示,并在周五晚上舉辦派對結束一周。本次黑客松主題包括游戲、NFT、DeFi、工具和基礎設施,每個賽道的獲勝團隊都將有獎品。[2023/1/29 11:34:46]
晚上9時45分,Medamon項目被閃存貸攻擊利用,造成3159美元的損失;
Transit Swap:已確定黑客IP、電郵地址及相關鏈上地址:10月2日消息,加密錢包Token Pocket旗下閃兌交易DEX Transit Swap官方發布公告稱,此前黑客攻擊事件原因系代碼錯誤,目前已確定黑客 IP、電子郵件地址,以及相關的鏈上地址。Transit Swap 團隊表示將盡力追蹤黑客,并嘗試與黑客溝通,幫助用戶挽回損失。
金色財經此前報道,據CertiK監測,跨鏈DEX聚合器Transit Swap遭受攻擊,導致用戶的資金從錢包中被取出。到目前為止,損失估計約為2000萬美元(約49815枚BNB和約5182枚ETH)。該項目目前已暫停運營。[2022/10/2 18:37:29]
緊接著,PI-DAO項目被閃存貸攻擊利用,造成了6445美元的損失。
Indexed Finance核心開發者:攻擊事件中的兩個黑客關聯地址曾從幣安提幣:10月16日消息,被動收益協議 Indexed Finance 核心開發者 Dillon Kellar 發推稱,目前已經確定 Indexed Finance 攻擊事件中的兩個黑客關聯地址曾從幣安提幣,接下來會對此進行解釋。Indexed Finance 官方則表示,情況已經發生了很大的變化,攻擊者應該非常認真地考慮將資金退回。
此前報道,10 月 15 日 Indexed Finance 的 DEFI5 和 CC10 池遭到攻擊,損失達 1600 萬美元。[2021/10/16 20:33:27]
這一系列攻擊的攻擊者與攻擊方法,與同一天早些時候發生的WienerDOGE相同。
攻擊步驟
①攻擊者通過閃電貸獲得了2900枚BNB。
②攻擊者將2900枚BNB換成了6,638,066,501,83枚WDOGE。
●LP的狀態:
??○WdogE:199,177,850,468
??○WBNB:2978
③將5,974,259,851,654枚WDOGE發送到LP,由于WDOGE比BNB多,所以LP現在處于不平衡狀態。
●LP的狀態:
??○?WDOGE:5,178,624,112,169
??○?WBNB:2978
④調用skim()函數,從LP中取回4,979,446,261,701枚WDOGE。由于攻擊者在調用skim()之前發送了大量的WDOGE,所以LP將支付大量的費用。這一操作清空了LP內的WDOGE的數量。
攻擊者還調用可sync()函數來更新LP內的儲備值。若干枚WDOGE和2978枚BNB的存在,造成了WDOGE的價格與WBNB相比異常昂貴。
⑤最后,攻擊者用剩下的WDOGE換回了2978枚BNB,償還了閃電貸,賺取了78枚BNB。
而其他幾個項目被攻擊的流程步驟也相似:
閃電貸取得WBNB,并用WBNB換取LP中的通縮代幣;
直接將通縮的代幣轉移到LP對上;
調用skim()函數,迫使LP對輸回通縮代幣;
由于轉讓費的存在,攻擊者會重復步驟2~3,將LP對中的通縮代幣耗盡;
通過LP對中的價格不平衡來獲取利潤。
漏洞分析
當用戶轉移一定數量的WDOGE時,除了費用,還有4%的代幣將被銷毀。
因此,如果LP發送100枚WDOGE,其余額將減少104枚WDOGE。
所以,LP應該被排除在費用和代幣銷毀之外。
寫在最后
如果同時對代幣和LP合約進行審計,這一風險因素就可以被發現。
然而,如果只有代幣合約被審計,那么交換機制將被視為一個外部依賴。
而這種情況在審計過程中將會指出第三方依賴風險。具體為:如果是代幣合約,CertiK審計專家將會與項目方討論,確認是否需要除去LP對的手續費;如果是LP對方的合約,CertiK審計專家會提出通縮幣的討論,并且提醒項目方可能存在的風險。
4月24日,中國李寧微博發布“邀請了來自Web3.0的名門望族BoredApeYachtClub無聊猿游艇俱樂部,編號#4102的無聊猿,作為中國李寧快閃店的潮流主理人”.
1900/1/1 0:00:00尊敬的唯客用戶您好! WEEX唯客身為一家持牌正規交易所,有鑒于近日洗錢活動將嚴重危害數字資產交易的發展,損害正常用戶正當權益,WEEX唯客為預防洗錢和恐怖融資活動.
1900/1/1 0:00:00今天作者想來跟大家聊聊數字藏品與NFT的區別。所謂的數字藏品,即是我們熟知的NFT在國內的稱呼。2021年,全球NFT市場迎來了一次大爆發,而在國內,同樣也誕生了多個火熱的平臺.
1900/1/1 0:00:00關於Gate.ioStartup免費空投計劃爲回饋平臺用戶,Gate.io上線“免費空投計劃”,在Startup區不定期進行區塊鏈項目的免費空投計劃.
1900/1/1 0:00:00NFT?數據日報是由Odaily星球日報與?NFT?數據整合平臺NFTGO.io合作的一檔欄目,旨在向NFT愛好者與投資者展示近24小時的NFT市場整體規模、交易活躍度、子領域市占比.
1900/1/1 0:00:00親愛的用戶: PearCoin已于2022年4月26日18:00開啟FZT充值,預計于2022年4月29日20:00開啟FZT交易,并同步上線FZT/USDT交易對,提現的具體時間待定.
1900/1/1 0:00:00