Dot Finance閃電貸安全事件分析-ODAILY_DOT

前言

8月25日，知道創宇區塊鏈安全實驗室監測到BSC鏈上的DeFi協議DotFinance遭遇閃電貸襲擊，價值跌落近35%。實驗室第一時間跟蹤本次事件并分析。

涉及對象

黑客地址：

0xDFD78a977c08221822F6699AD933869Da6d9720C

波卡DeFi平臺Acala已開啟Crowdloan，1小時鎖倉超過100萬枚DOT:11月5日消息，波卡DeFi平臺Acala的Crowdloan已經在其官網上線，用戶可以通過4種渠道進行參與，其中通過Acala官網和Polkawallet錢包參與可獲得釋放DOT的流動性釋放產品IcDOT，也可通過Karken、OKEX、Kucoin、Newland、Binance等CEX參與AcalaCrowdloan。據官網顯示，截止11月5日17:50，Acala Crowdloan開啟僅1小時，社區參與人數為4572人，共鎖定1097770.7枚DOT。[2021/11/5 6:34:03]

攻擊合約地址：

加密體育競賽平臺dotmoovs已集成Chainlink VRF:7月2日消息，基于區塊鏈和AI的加密體育競賽平臺dotmoovs已經集成Chainlink可驗證隨機函數（VRF）。通過集成Chainlink預言機網絡，dotmoovs現在可以獲得防篡改和可審計的隨機數來源，以公平分配即將發放的獨家獎品、NFT和其他獎勵。[2021/7/2 0:23:50]

0x33f9bB37d60Fa6424230e6Cf11b2d47Db424C879

受害合約地址：

密碼極客成立2000萬美元波卡生態基金Crypdot capital:密碼極客宣布成立2000萬美金波卡生態基金Crypdot capital，資金來自密碼極客社區和部分阿里技術高管，該基金將專注投資polkadot生態項目投資和孵化。據悉，密碼極客在2017年和2019年兩次投資了總計400萬美金的Dot，密碼極客團隊及本次出資的阿里技術高管一致認為polkadot是繼以太坊后最值得關注的web3.0項目之一，Crypdot capital正是基于對web3.0的前景預判成立的。[2020/8/31]

0x16fd050f05f8fc361cf9083aa3f624a2bf7e914d0xbfca3b1df0ae863e966b9e35b9a3a3fee2ad8b07

攻擊涉及主要函數分析

分析交易哈希

0x68170a309ab2e944e178ccf9bf6f19e25a3f356031ce53539bb9669fc77172f2

swap函數

1.整個交易都始于PancakePairswap函數

2.為攻擊提供資金支持

getreward函數

1.使用balanceOf(address(this))獲取CAKE代幣余額

2.通過CAKE代幣余額來鑄造獎勵

簡要過程及原理分析

1.黑客使用PancakeSwap閃電貸獲得初始資金100Cake代幣；

2.通過將Cake代幣打入VaultPinkBNB合約，來影響getReward函數獲取合約Cake代幣真實值，同時performanceFee參數受Cake代幣真實值影響數值巨大；

3.最后mintFor函數使用受影響的performanceFee參數向黑客鑄造大量pink代幣獎勵；

總結

此次攻擊屬于PancakeBunny同類型的攻擊事件，迄今為止此類攻擊事件已發生多次，知道創宇區塊鏈安全實驗室再次提醒，近期BSC鏈上頻頻爆發攻擊事件，合約安全愈發需要得到迫切重視，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：DOTCAKEANCALADOT波卡幣能漲到500嗎GKCAKEAltpay FinancePala Int Comm

火必APP