以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > 萊特幣 > Info

黑客四連擊:Wiener DOGE, Last Kilometer, Medamon以及PIDAO項目被攻擊事件分析_DOG

Author:

Time:1900/1/1 0:00:00

據CertiK安全團隊監測,,WienerDOGE項目于北京時間2022年4月24日下午4時33分被惡意利用,造成了3萬美元的損失。攻擊者利用WDODGE的收費機制和交換池之間的不一致,發起了攻擊。

事件發生的根本原因是:通過緊縮的代幣合約造成發送方的LP對沒有被排除在轉賬費用之外。因此,攻擊者能夠將LP對中的通貨緊縮代幣耗盡,進而導致貨幣對價格失衡。

而隨后于同一天接連發生了另外三起惡意利用:

同天下午6時20分,LastKilometer項目被閃電貸攻擊利用,造成了26495美元的損失;

Connext和Alchemix推出跨鏈代幣標準以減少黑客攻擊損失:金色財經報道,Connext 跨鏈橋接協議宣布聯合Alchemix推出了新的代幣標準,以減少跨鏈橋黑客攻擊造成的損失。根據公告,新的“xERC-20”標準允許代幣發行者維護官方橋接列表,并控制每個橋可以鑄造的代幣數量。公告稱,除了Connext之外,DeFi平臺Alchemix Finance將部署xERC-20代幣標準。

Connext 在公告中表示,新的標準將防止安全性較差或過度中心化的橋梁受到攻擊,因為代幣發行者現在可以靈活地隨著時間的推移詳細更新他們對支持橋的偏好。跨鏈橋不再優先考慮建立流動性壟斷,或試圖通過鎖定代幣發行者(或在某些情況下整個鏈)來壟斷市場份額,而是被迫持續關注其安全性和服務質量,以免被摘牌。[2023/7/25 15:56:32]

同天晚上9時45分,Medamon項目被閃存貸攻擊利用,造成3159美元的損失;

動態 | WebAssembly挖礦備受黑客青睞:降維安全實驗室(johnwick.io)關注到隨著WebAssembly(Wasm)在現代瀏覽器環境下的廣泛應用,并以接近原生代碼的運行速度打敗諸如asm.js等競爭對手,逐漸受到惡意挖礦代碼作者的青睞,越來越多的惡意挖礦腳本被編譯成wasm,以提高挖礦效率,降低用戶感知。更多相關細節請聯系降維安全實驗室。[2018/10/22]

緊接著,PI-DAO項目被閃存貸攻擊利用,造成了6445美元的損失。

這一系列攻擊的攻擊者與攻擊方法,與同一天早些時候發生的WienerDOGE相同。

動態 | John McAfee將為黑入Bitfi錢包的黑客提供2000萬美元:據cryptovest報道,此前,Bitfi錢包表示將不再宣稱其“不可破解”,并停止了漏洞賞金計劃,這引起了黑客們的憤怒。對此,John McAfee McAfee 9月1日在其社交媒體表示,如果黑客成功侵入該錢包,將為其中一位提供2000萬美元的加密貨幣。Bitfi錢包則表示這項提議“直接來自McAfee”,該公司與2000萬美元的賞金無關。[2018/9/5]

WienerDOGE攻擊流程

攻擊者通過閃電貸獲得了2900枚BNB。

現場 | Jason Cohen:數據分布式存儲向黑客發起挑戰:據CoinTime報道,Big Data Block 的CEO Jason Cohen在“數據分布式存儲更安全”的主題演講中表示,數據的分布式存儲對黑客來說是個挑戰,因為數據不只在一個地方存儲,對于黑客來說攻擊成為了一個數量游戲,他無法通過一個單一的安全漏洞對整體造成威脅。雖然仍存在風險,但僅限于非常小的數據集,黑客幾乎無法攻擊1000臺獨立的機器。[2018/8/27]

攻擊者將2900枚BNB換成了6,638,066,501,83枚WDOGE

WdogE:199,177,850,468

WBNB:2978

LP的狀態:

將5,974,259,851,654枚WDOGE發送到LP,由于WDOGE比BNB多,所以LP現在處于不平衡狀態。

WDOGE:5,178,624,112,169

WBNB:2978

LP的狀態:

調用skim()函數,從LP中取回4,979,446,261,701枚WDOGE。由于攻擊者在調用skim()之前發送了大量的WDOGE,所以LP將支付大量的費用。這一操作清空了LP內的WDOGE的數量。

攻擊者還調用可sync()函數來更新LP內的儲備值。若干枚WDOGE和2978枚BNB的存在,造成了WDOGE的價格與WBNB相比異常昂貴。

5.最后,攻擊者用剩下的WDOGE換回了2978枚BNB,償還了閃電貸,賺取了78枚BNB。

而其他幾個項目被攻擊的流程步驟也相似:

閃電貸取得WBNB,并用WBNB換取LP中的通縮代幣;

直接將通縮的代幣轉移到LP對上;

調用skim()函數,迫使LP對輸回通縮代幣;

由于轉讓費的存在,攻擊者會重復步驟2~3,將LP對中的通縮代幣耗盡;

通過LP對中的價格不平衡來獲取利潤。

合約漏洞分析

當用戶轉移一定數量的WDOGE時,除了費用,還有4%的代幣將被銷毀。

因此,如果LP發送100枚WDOGE,其余額將減少104枚WDOGE。

所以,LP應該被排除在費用和代幣銷毀之外。

資產損失

審計的作用

CertiK審計專家認為:如果同時對代幣和LP合約進行審計,這個漏洞就可能被發現。然而,如果只有代幣合約被審計,那么交換機制將被視為一個外部依賴。而這種情況在審計過程中將會指出第三方依賴風險。具體為:如果是代幣合約,CertiK審計專家將會與項目方討論,確認是否需要除去LP對的手續費;如果是LP對方的合約,CertiK審計專家會提出通縮幣的討論,并且提醒項目方可能存在的風險。

作為區塊鏈安全領域的領軍者,CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止,CertiK已獲得了3200家企業客戶的認可,保護了超過3110億美元的數字資產免受損失。

Tags:DOGDOGEWDOWDOGDOGPRO價格ELONDOGECEO價格towdogecoin

萊特幣
Twitter如何去中心化?看看這十個SocialFi項目_NFT

鏈上內容社交平臺的春天來了?"ILoveTwitter","Howmuchisit",喜歡就買下來,馬斯克說到做到.

1900/1/1 0:00:00
從摹仿到塑造 元宇宙藝術何以可能?_元宇宙

“元宇宙”是2021年以來關注度極高的一個詞。作為一種新興技術形態,元宇宙能夠以數據的方式建構現實世界的平行宇宙,實現全沉浸式的呈現,這正是對感知信號的完全摹仿.

1900/1/1 0:00:00
一文讀懂從加密市場中學到的十八個教訓_TUR

1. 不要假設任何人都在考慮你的最大利益。即使你覺得自己是加密Twitter上一個大社區的一員,你也是一個人。 這是PvP。 談到市場,每個人都是自利的.

1900/1/1 0:00:00
一文讀懂a16z 青睞的WEB3.0隱私基礎設施_NYM

本文由“老雅痞laoyapicom”授權轉載目前互聯網上缺乏隱私,使數十億人暴露在大規模監控和數據泄露之下.破壞了對數字服務的信任,扼殺了創新.

1900/1/1 0:00:00
加密領域第一季度回顧和市場展望_NFT

快覽: 盡管市場低迷,但加密投資在第一季度仍然非常活躍。在基礎設施方面,我們在跨鏈解決方案和DAO工具中看到了很多的動向。新的layer-1仍在孵化中.

1900/1/1 0:00:00
金色早報 | Glassnode:梅耶乘數指標顯示目前仍處于加密熊市之中_區塊鏈

頭條 ▌Glassnode:梅耶乘數指標顯示目前仍處于加密熊市之中金色財經報道,據區塊鏈分析公司Glassnode最新研究稱,根據梅耶乘數指標分析,目前仍處于加密熊市之中.

1900/1/1 0:00:00
ads