以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

黑客四連擊,近期項目被攻擊事件分析-ODAILY_DOG

Author:

Time:1900/1/1 0:00:00

北京時間2022年4月24日下午4時33分,CertiK審計團隊監測到WienerDOGE項目被惡意利用,造成了3萬美元的損失。攻擊者利用WDODGE的收費機制和交換池之間的不一致,發起了攻擊。

事件發生的根本原因是:通過緊縮的代幣合約造成發送方的LP對沒有被排除在轉賬費用之外。因此,攻擊者能夠將LP對中的通貨緊縮代幣耗盡,進而導致貨幣對價格失衡。

而隨后于同一天內接連發生了另外三起惡意利用:

BonqDAO攻擊事件(0x9210F)黑客地址向Tornado Cash轉入70枚ETH:金色財經報道,據CertiK監測,BonqDAO攻擊事件黑客地址2 (0x9210F) 向Tornado Cash轉入70枚ETH(約11.7萬美元)。

目前0x9210F地址中仍有7.5枚ETH和價值約61.3萬美元的ALBT。[2023/2/5 11:48:02]

下午6時20分,LastKilometer項目被閃電貸攻擊利用,造成了26495美元的損失;

晚上9時45分,Medamon項目被閃存貸攻擊利用,造成3159美元的損失;

Azuki社交賬戶黑客已將竊取資金轉移至Tornado Cash:金色財經報道,派盾監測顯示,Azuki官方社交媒體賬戶攻擊事件黑客已將被盜資金兌換為618枚ETH并轉移到Tornadao Cash。

釣魚者地址“0x50…fd7”同時竊取了196枚NFT,包括74個Otherdeed、56個Beanz、12個Doodles、2個MAYC和41個Pudgy Penguins,該地址目前已經轉移了234ETH。[2023/1/29 11:35:16]

緊接著,PI-DAO項目被閃存貸攻擊利用,造成了6445美元的損失。

英國教育大臣推特賬戶遭黑客劫持后發布虛假加密信息:金色財經報道,英國教育大臣 Gillian Keegan 的推特賬戶遭黑客劫持,黑客將其頭像改成了馬斯克并開始發布虛假加密信息,聲稱將為“粉絲和加密社區提供特別贈品”,根據相關推文推斷,Gillian Keegan的賬戶似乎是在圣誕節那天晚上 7 點 30 分左右被黑客劫持,而且截止本文撰寫時該賬戶仍未恢復正常。( Skynews)[2022/12/26 22:08:39]

這一系列攻擊的攻擊者與攻擊方法,與同一天早些時候發生的WienerDOGE相同。

攻擊步驟

動態 | Pandacash贏得BCH Devcon黑客馬拉松冠軍:據news.bitcoin報道,比特大陸出資5000萬美元創建的創新基金Permissionless Ventures在阿姆斯特丹舉辦了BCH Devcon黑客馬拉松活動,名為Pandacash的項目該通過提供“一鍵式”BCH區塊鏈軟件開發套件贏得冠軍大獎。[2018/10/30]

①攻擊者通過閃電貸獲得了2900枚BNB。

②攻擊者將2900枚BNB換成了6,638,066,501,83枚WDOGE。

●LP的狀態:

○WdogE:199,177,850,468

○WBNB:2978

③將5,974,259,851,654枚WDOGE發送到LP,由于WDOGE比BNB多,所以LP現在處于不平衡狀態。

●LP的狀態:

○WDOGE:5,178,624,112,169

○WBNB:2978

④調用skim()函數,從LP中取回4,979,446,261,701枚WDOGE。由于攻擊者在調用skim()之前發送了大量的WDOGE,所以LP將支付大量的費用。這一操作清空了LP內的WDOGE的數量。

攻擊者還調用可sync()函數來更新LP內的儲備值。若干枚WDOGE和2978枚BNB的存在,造成了WDOGE的價格與WBNB相比異常昂貴。

⑤最后,攻擊者用剩下的WDOGE換回了2978枚BNB,償還了閃電貸,賺取了78枚BNB。

而其他幾個項目被攻擊的流程步驟也相似:

閃電貸取得WBNB,并用WBNB換取LP中的通縮代幣;

直接將通縮的代幣轉移到LP對上;

調用skim()函數,迫使LP對輸回通縮代幣;

由于轉讓費的存在,攻擊者會重復步驟2~3,將LP對中的通縮代幣耗盡;

通過LP對中的價格不平衡來獲取利潤。

漏洞分析

當用戶轉移一定數量的WDOGE時,除了費用,還有4%的代幣將被銷毀。

因此,如果LP發送100枚WDOGE,其余額將減少104枚WDOGE。

所以,LP應該被排除在費用和代幣銷毀之外。

資產去向

寫在最后

如果同時對代幣和LP合約進行審計,這一風險因素就可以被發現。

然而,如果只有代幣合約被審計,那么交換機制將被視為一個外部依賴。

而這種情況在審計過程中將會指出第三方依賴風險。具體為:如果是代幣合約,CertiK審計專家將會與項目方討論,確認是否需要除去LP對的手續費;如果是LP對方的合約,CertiK審計專家會提出通縮幣的討論,并且提醒項目方可能存在的風險。

Tags:DOGDOGEWDOWDOGTheDogeWorldINFINITYDOGE價格wdo幣的最新消息towdogecoin

比特幣價格
Manta Network Dolphin測試網即將遷移至V2版本-ODAILY_MAN

Manta/Calamari的社區朋友們好!非常感謝大家對于Dolphin測試網V1版本的支持。我們收到了很多有建設性的反饋,并根據這些反饋對產品進行了改進.

1900/1/1 0:00:00
獨家報道:用科羅拉多州合作法規解開DAO之謎-ODAILY_DAO

像去中心化自治組織(DAO)這樣的自治實體是獨特的,而且與美國傳統的法律實體在很大程度上是不兼容的.

1900/1/1 0:00:00
Bitfinex 一周簡報(0418-0424)-ODAILY_BIT

Bitfinex行動使用程序已經上線Bitfinex借用功能4月23日消息,Bitfinex行動管理程序已經上線Bitfinex借用功能.

1900/1/1 0:00:00
Clearpool與Qredo合作,為機構對DeFi的安全訪問提供支持-ODAILY_CLE

倫敦,2022年2月2日——Qredo與Clearpool合作,使機構能夠安全地訪問數字資產和DeFi.

1900/1/1 0:00:00
NFT大作猿猴推出ApeCoin,其價值幾何?-ODAILY_NFT

今日,BoredApeYachtClub在推特發布與之有關的生態治理系統代幣ApeCoin正式推出.

1900/1/1 0:00:00
World Mobile項目周報(3月28日—4月3日)-ODAILY_WOR

2022年3月28日WorldMobile與ERGODEX達成合作,在ERGODEX上線之時,WMT是在上面可以進行交易的第一個Token.

1900/1/1 0:00:00
ads