據CertiK安全團隊監測,,WienerDOGE項目于北京時間2022年4月24日下午4時33分被惡意利用,造成了3萬美元的損失。攻擊者利用WDODGE的收費機制和交換池之間的不一致,發起了攻擊。
事件發生的根本原因是:通過緊縮的代幣合約造成發送方的LP對沒有被排除在轉賬費用之外。因此,攻擊者能夠將LP對中的通貨緊縮代幣耗盡,進而導致貨幣對價格失衡。
而隨后于同一天接連發生了另外三起惡意利用:
同天下午6時20分,LastKilometer項目被閃電貸攻擊利用,造成了26495美元的損失;
Palmswap:黑客如轉回資金則不采取法律行動:7月25日消息,DEX協議Palmswap發推表示,已經分析了過去幾個小時的情況,聯系了審計師Zokyo、幣安和USDT,并尋求幫助和評估情況。其中智能合約在UTC時間7月24日17:23被利用。901455.9215枚USDT從LP金庫合約中被盜,目前已暫停PLP合約和所有相關合約,仍在調查此案,并會及時通知最新情況。此外團隊發布致黑客的提議,稱黑客如轉回資金會將其視為白帽,不會采取任何法律行動。[2023/7/25 15:57:11]
同天晚上9時45分,Medamon項目被閃存貸攻擊利用,造成3159美元的損失;
Scroll成為ETH Beijing黑客松的協辦方及贊助方:據官方消息,以太坊 zk-rollup 擴容項目 Scroll 成為 ETH Beijing 黑客松的協辦方及贊助方,用戶可以從官方鏈接報名參與 ETH Beijing 黑客松。[2023/3/10 12:53:48]
緊接著,PI-DAO項目被閃存貸攻擊利用,造成了6445美元的損失。
這一系列攻擊的攻擊者與攻擊方法,與同一天早些時候發生的WienerDOGE相同。
WienerDOGE攻擊流程
攻擊者通過閃電貸獲得了2900枚BNB。
DeFi項目PancakeBunny事件黑客已將大部分獲利資金兌換成近4600萬DAI:自北京時間5月20日10時55分開始,PancakeBunny事件的黑客獲利地址(0x158C24...2C612f)通過PancakeSwap將獲利資金114,631BNB和697,245BUNNY兌換為ETH,再以跨鏈的方式轉移到ETH地址1(0xa0ACC6...d7E187)和ETH地址2(0x158C24...2C612f)。今日慢霧MistTrack監測到地址1給地址2轉入16,500ETH,地址2再通過Sushiswap等兌換平臺將ETH兌換成DAI轉回到地址1。目前地址1余額480ETH、近4600萬DAI;地址2暫無余額。慢霧安全團隊在此提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。[2021/5/21 22:28:30]
攻擊者將2900枚BNB換成了6,638,066,501,83枚WDOGE
聲音 | Block.one:81%與黑客相關的漏洞都是由于密碼管理不善造成的:昨天,Block.one 發布文章《區塊鏈將成為密碼不安全性的解決方案》。文章寫道:根據2018年的Verizon數據泄漏調查報告,81%與黑客相關的漏洞都是由于密碼管理不善造成的。文章還認為,基于區塊鏈協議構建的用戶與應用之間的交互以及額外使用硬件密鑰,可創建無縫且無密碼的體驗,并在用戶上線時提供更強大和受保護的環境。[2019/2/2]
WdogE:199,177,850,468
WBNB:2978
LP的狀態:
將5,974,259,851,654枚WDOGE發送到LP,由于WDOGE比BNB多,所以LP現在處于不平衡狀態。
WDOGE:5,178,624,112,169
WBNB:2978
LP的狀態:
調用skim()函數,從LP中取回4,979,446,261,701枚WDOGE。由于攻擊者在調用skim()之前發送了大量的WDOGE,所以LP將支付大量的費用。這一操作清空了LP內的WDOGE的數量。
攻擊者還調用可sync()函數來更新LP內的儲備值。若干枚WDOGE和2978枚BNB的存在,造成了WDOGE的價格與WBNB相比異常昂貴。
5.最后,攻擊者用剩下的WDOGE換回了2978枚BNB,償還了閃電貸,賺取了78枚BNB。
而其他幾個項目被攻擊的流程步驟也相似:
閃電貸取得WBNB,并用WBNB換取LP中的通縮代幣;
直接將通縮的代幣轉移到LP對上;
調用skim()函數,迫使LP對輸回通縮代幣;
由于轉讓費的存在,攻擊者會重復步驟2~3,將LP對中的通縮代幣耗盡;
通過LP對中的價格不平衡來獲取利潤。
合約漏洞分析
當用戶轉移一定數量的WDOGE時,除了費用,還有4%的代幣將被銷毀。
因此,如果LP發送100枚WDOGE,其余額將減少104枚WDOGE。
所以,LP應該被排除在費用和代幣銷毀之外。
資產損失
審計的作用
CertiK審計專家認為:如果同時對代幣和LP合約進行審計,這個漏洞就可能被發現。然而,如果只有代幣合約被審計,那么交換機制將被視為一個外部依賴。而這種情況在審計過程中將會指出第三方依賴風險。具體為:如果是代幣合約,CertiK審計專家將會與項目方討論,確認是否需要除去LP對的手續費;如果是LP對方的合約,CertiK審計專家會提出通縮幣的討論,并且提醒項目方可能存在的風險。
作為區塊鏈安全領域的領軍者,CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止,CertiK已獲得了3200家企業客戶的認可,保護了超過3110億美元的數字資產免受損失。
繼前期系列文章,我們探討關于DAO增長規模、二元治理等問題之后,本篇文章DAOrayaki社區將繼續編譯,DAOMMORPG傳說工匠的問題。這個話題已經引起了DAO人的迅速關注.
1900/1/1 0:00:007:00-12:00關鍵詞:荔枝FM、Moonbirds、星巴克、MicroStrategy1.UGC音頻社區荔枝FM將于5月20日發布首款多人共創音頻數字藏品;2.
1900/1/1 0:00:00Web3網絡效應將需要一個全新的劇本。在過去的十年里,網絡效應推動了Web2平臺的崛起,也奠定了其主導地位,同時激發了建設者和投資者的想象力.
1900/1/1 0:00:00金色財經消息,紐約州議會將于下周就一項禁止PoW加密貨幣挖礦的提案進行投票。該法案于今年3月獲得眾議院批準.
1900/1/1 0:00:00Web3.0是什么?這個問題也許連在幣圈泡了十幾年的老江湖,也很難在三言兩語間給出一個足夠準確地回答.
1900/1/1 0:00:00相信你對預付式消費并不陌生,但你體驗過數字人民幣預付式消費嗎?5月6日,北京商報記者獲悉,全國首個數字人民幣預付式消費平臺在深圳福田落地,并首選教培行業進行試點.
1900/1/1 0:00:00