遭受價格操控攻擊損失約73萬美元：bDollar被攻擊事件分析_BNB

2022年5月21日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示， bDollar項目遭受價格操控攻擊，攻擊者獲利2381WBNB（價值約73萬美元）。成都鏈安技術團隊第一時間對事件進行了分析，結果如下。

#1 項目相關信息

Beosin：CS (CS)token遭受到攻擊，損失金額截至目前約71.4萬美元:金色財經報道，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，2023年5月24日，bsc上鏈的CS(CS)代幣項目遭受攻擊。原因是代幣的_transfer函數中sellAmount沒有及時更新。Beosin安全團隊將簡析分享如下：

1、攻擊者利用閃電貸借入BSC-USD兌換成CS代幣。

2、攻擊者開始賣出3000 CS代幣，這一步會設置sellAmount。

3、攻擊者通過給自己轉賬，會觸發sync()，在這個函數中使用了上一步的sellAmount并且這個函數會銷毀pair的中CS代幣數量。Sync后sellAmount會置為0。重復2，3步持續減少pair中的CS代幣數量，拉升CS代幣的價格，使得后續一步可以兌換出更多的BSC-USD。

借入80,000,000 BSC-USD，兌換出80,954,000 BSC-USD，償還80,240,000 BSC-USD，獲利約714,000 BSC-USD。[2023/5/24 15:22:35]

由 Bearn.fi 提供的 bDollar 是幣安智能鏈上的第一個算法穩定幣，它可以確定性地調整其供應量，將代幣的價格向目標價格方向移動，從而為 DeFi 帶來可編程性和互操作性。

安全機構：Mango遭受潛在1億美元的攻擊:10月12日消息，區塊鏈安全機構OtterSec發推稱，基于Solana的去中心化金融平臺Mango遭受潛在1億美元的攻擊，OtterSec表示，攻擊者能夠操縱他們的Mango抵押品，他們暫時提高了抵押品價值，然后從Mango財庫中獲得了大量貸款。

Mango表示，在情況更清楚之前，敦促用戶不要向Mango存款。[2022/10/12 10:31:38]

#2 事件相關信息

攻擊交易

0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4

動態 | Mt.Gox繼續對遭受損失用戶進行補償:據breakermag消息，最近Mt.Gox部分用戶收到補償信，這封信是通過Mt.Gox的日本律師事務所發送的，其中顯示收到補償信的用戶最終可能會獲得自己丟失比特幣的補償。據悉，這封補償信是用日語和英語完成編寫的，意味著該郵件接收者提出的索賠將會繼續進行。但是，Mt.Gox在這封信中仍然沒有提及賠償的具體時間，也沒有提及會使用什么貨幣（比如比特幣、美元、還是日元）進行賠償。[2019/4/25]

攻擊者地址

0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e

動態 | 日本BTCBOX交易所今日凌晨BTC報價最低達1336美元 疑似遭受攻擊:據日本交易所BTCBOX BTC/日元交易市場K線圖顯示，今日凌晨1時左右（日本為東9區時間，本文中為東8區時間）BTC交易價格從80萬日元（7120美元）左右一路下崩直至最低點14.9萬日元（1336美元），之后又于4點后驟然回升到正常水平。有網友稱該交易所可能是遭受攻擊，也可能是該交易所內部機器人操作失誤，目前該交易所還未做出回應。[2018/7/22]

攻擊合約

0x6877f0d7815b0389396454c58b2118acd0abb79a

被攻擊合約

0xeaDa3d1CCBBb1c6B4C40a16D34F64cb0df0225Fd

1、通過閃電貸借出670WBNB。

2、 將其分成多份分別轉入到WBNB/BDO、BUSD/BDO等多個池子進行兌換，拉高BDO的價格。

3、攻擊者接著借出30,516 cake用于后續攻擊：調用DAO Fund合約中的claimAndReinvestFromPancakePool函數，該函數將cake兌換成400個wbnb，且觸發了200WBNB兌換BDO，然而最后會調用_addLiquidity，用合約中的WBNB去添加流動性。此時由于BDO價格很高，導致添加流動性時需要使用項目方合約中大量的WBNB，相當于項目方高位接盤。

4、最后攻擊者通過pancake兌換出WBNB，歸還閃電貸，獲利2381 WBNB。

本次攻擊主要利用了DAO fund代理合約CommunityFund中claimAndReinvestFromPancakePool函數在添加流動性時的設計漏洞，未充分考慮到價格被惡意拉高后，項目方會在添加流動性時，用自己合約內的資金被動高位接盤的情況。

截止發文時，被盜資金還未被攻擊者轉出，仍存在攻擊合約中：0x6877F0D7815b0389396454C58b2118ACD0aBB79A。

針對本次事件，成都鏈安技術團隊建議：

1、合約在設計時應充分考慮可能遇到的攻擊，盡量完善其安全設計；

2、項目上線前，建議選擇專業的安全審計公司進行全面的安全審計，規避安全風險。

Tags：BNBWBNBMANUSDbnb音響WBNB價格CARTMANUSDT幣提現判多久

屎幣