以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > 中幣 > Info

SafeDollar 歸零 Polygon生態的“潘多拉魔盒”已打開?_SAFE

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間6月28日,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,Polygon生態算法穩定幣項目SafeDollar遭到黑客攻擊。攻擊事件發生后,SafeDollar項目所發行的穩定幣價格從1.07美元,瞬間跌至歸零。

有消息指出,一份未經證實的合約抽走了25萬美元的USDC和USDT;后經Rugdoc.io分析證實,此次攻擊事件中黑客總共獲利價值25萬美元的USDC和USDT。隨后,SafeDollar項目方發布公告,要求投資者停止所有與SDO相關的交易。目前,SDO交易已暫時中止。

鑒于此次攻擊事件所具備的標志意義,成都鏈安·安全團隊第一時間介入分析。繼5月初BSC諸多鏈上項目頻頻被黑之后,6月末Polygon生態也開始被黑客盯上,“潘多拉魔盒”是否已經悄然開啟?借此事件,成都鏈安通過梳理攻擊流程和攻擊手法,提醒Polygon生態項目加強安全預警和防范工作。

數字資產管理平臺Safe已實現EIP-1271兼容性:5月23日消息,數字資產管理平臺Safe(原Gnosis Safe)宣布已實現EIP-1271兼容性,允許用戶借助其新的簽名消息功能,將這種無Gas簽名流(gasless signature flow)與EIP-1271智能合約簽名兼容的DApp結合使用。EIP-1271提供了一套驗證代表合約賬戶的簽名是否有效的標準,這使得合約賬戶能夠像EOA一樣進行簽名驗證。[2023/5/23 15:20:41]

二、事件分析

此次攻擊事件中,攻擊者利用PLX代幣轉賬時實際到賬數量小于發送數量以及SdoRewardPool合約抵押和計算獎勵上存在的邏輯缺陷,借助“閃電貸”控制SdoRewardPool合約中抵押池的抵押代幣數量,進而操縱獎勵計算,從而獲得巨額的SDO獎勵代幣,最后使用SDO代幣將SDO-USDC和SDO-USDT兩種兌換池中USDC和USDT全部兌換出來。

SafePal硬件錢包與移動端錢包已集成Sui Network:5月5日消息,去中心化加密錢包 SafePal 發文稱,其硬件錢包和移動端錢包已集成 Sui Network,瀏覽器錢包擴展程序的支持正在開發中,將很快發布。SafePal 用戶可以存儲、發送和接收 SUI 代幣,并通過應用內用于 SUI 的跨鏈交換來交換資產。[2023/5/5 14:44:53]

攻擊者地址:

0xFeDC2487Ed4BB740A268c565daCdD39C17Be7eBd

攻擊合約:

0xC44e71deBf89D414a262edadc44797eBA093c6B0

0x358483BAB9A813e3aB840ed8e0a167E20f54E9FB

Safe聯創:擬持有超2萬枚SAFE才可在SafeDAO創建治理提案:9月28日消息,數字資產管理平臺Safe(原Gnosis Safe)聯合創始人Lukas Schor于Safe官方論壇發布SafeDAO治理流程提議,流程為:階段0,任何人都可在論壇發起社區討論;階段1,創建治理提案;階段2,社區投票。擁有至少20,000枚SAFE Token的持有者才可在Snapshot上發布SafeDAO治理提案。未達到此閾值的治理參與者可通過提案發起人 (如Safe守護者) 以啟動Snapshot投票。[2022/9/28 22:37:30]

攻擊交易:

0xd78ff27f33576ff7ece3a58943f3e74caaa9321bcc3238e4cf014eca2e89ce3f

0x4dda5f3338457dfb6648e8b959e70ca1513e434299eebfebeb9dc862db3722f3

Gnosis Safe公布Token經濟預設模型,初始流通占比約19%:8月24日消息,數字資產管理平臺Safe(原GnosisSafe)在其論壇公布SAFEToken經濟預設模型,SafeToken總量10億枚中已分配和授予其中1.9億枚的歸屬,確切的分配比例將在SafedAO啟動之日公布。初始流通供應量中包括:

·向歷史用戶空投2500萬枚,可用于治理投票;

·向Safe守護者空投1250萬枚,可用于治理投票;

·向Safe基金會分配2000萬枚,承諾不可用于治理投票;

·向SafeDAO金庫分配5000萬枚,不可用于治理投票;

·向GnosisDAO金庫分配1000萬枚,已授予的Token可用于治理投票;

·向SafeDAO與GnosisDAO聯合金庫分配5000萬枚,不可用于治理投票;

·向核心貢獻者分配約200萬枚,可用于治理投票。[2022/8/24 12:46:11]

0x1360315a16aec1c7403d369bd139f0fd55a99578d117cb5637b234a0a0ee5c14

Polygon上算法穩定幣項目SafeDollar疑似遭到黑客攻擊:6月28日消息,Polygon上算法穩定幣項目SafeDollar疑似遭到黑客攻擊,一份未經證實的合約似乎抽走了25萬美元的USDC和USDT。目前,SDO交易已暫時中止。區塊鏈安全團隊SharkTeam正在對事件進行進一步分析。[2021/6/28 0:11:17]

以下分析基于以下兩筆交易:

0xd78ff27f33576ff7ece3a58943f3e74caaa9321bcc3238e4cf014eca2e89ce3f

0x1360315a16aec1c7403d369bd139f0fd55a99578d117cb5637b234a0a0ee5c14

攻擊者首先使用PolyDex的WMATIC和WETH池進行PLX借貸,如下圖所示:

接下來,攻擊者通過攻擊合約反復進行抵押提取,主要是為了減少SdoRewardPool合約中SDO抵押池中的抵押代幣數量。

PLX代幣合約進行代幣轉移時,如果from地址不在_isExcludedFromFee列表中,并且to地址也不在_isExcludedToFee列表中,會對轉移的代幣收取一次獎勵基金以及銷毀本次轉移代幣數量的0.05%。

而在SdoRewardPool合約中,記錄的數量為調用者所轉移的數量,沒有減去轉移過程中損耗的部分,在進行提取操作時,提取的數量為記錄的數量,超出了用戶實際抵押到本合約的數量,故會造成該抵押池中抵押代幣的異常減少。

攻擊者事先通過攻擊合約

在該抵押池中抵押214.235502909238707603PLX,在攻擊合約

攻擊完成后,控制攻擊合約

在該抵押池中進行獎勵領取,由于SdoRewardPool合約中更新抵押池信息時使用的是balanceOf函數獲取本合約中抵押代幣數量,故獲取到的數量是惡意減少之后的數量,繼而造成PLX抵押池中accSdoPerShare變量異常增大,從而獲取到巨額的SDO代幣獎勵。

最后利用獲取到的SDO代幣將SDO-USDC和SDO-USDT兩種兌換池中USDC和USDT全部兌換出來。

三、事件復盤

事實上,此次攻擊事件并不復雜,但是值得引起注意。首先添加抵押池時添加了非標準代幣,再加上計算獎勵時使用了balanceOf函數進行抵押代幣數量的獲取,所以導致了此次攻擊事件的發生。

從安全審計的角度看,項目方作為添加抵押池的管理員,對于將要添加的抵押池中的抵押貸幣,一定要三思而后行。通脹通縮類以及轉移數量與實際到賬數量不同的代幣,不建議作為抵押池的抵押代幣;如果因業務需要一定要添加這些類型的代幣作為獎勵代幣,務必與其他標準代幣分開處理。同時在抵押池中建議使用一個單獨的變量作為抵押數量的記錄,然后計算獎勵時,使用通過此變量來獲取抵押代幣數量,而不是使用balanceOf函數。

另外,此次攻擊事件對于Polygon生態鏈上項目而言,是否會是一個“危險信號”,Polygon生態的“潘多拉魔盒”是否會就此打開,這還需要觀望后續態勢發展。不過,回望5月,BSC生態發生第一起閃電貸攻擊之后,便就此拉開了“BSC黑色五月”序幕。鑒于前車之鑒,成都鏈安在此提醒,Polygon生態鏈上項目未雨綢繆,切實提高安全意識!

Tags:SAFESDOUSDFEDSafeMoonMARSDOGE幣Stable USDWIFEDOGE

中幣
Filer宣言 算力NFT+生態網絡 實現挖礦平權_FIL

“人類到了這樣的一個時期:不僅被算力所改變,而且被算力所“異化”。算力革命支撐和推動著數字經濟和數字財富的擴張”——朱嘉明比特幣發展至今,已經超越了比特幣誕生本身的意義.

1900/1/1 0:00:00
如何理解「元宇宙」?你是拓荒者還是原住民?_元宇宙

編者按: 2021年6月2日,“波浪2021·區塊鏈行業影響力峰會”在杭州舉辦。數字資產研究院學術與技術委員會主席朱嘉明教授受邀作了題為《如何認知加速而來的“元宇宙”》的主題演講.

1900/1/1 0:00:00
金色觀察丨吹糠見米 四川叫停挖礦后全球比特幣能耗已減少50%_比特幣

金色財經區塊鏈6月28日訊??根據劍橋大學比特幣電力消耗指數顯示,自國內打擊數字貨幣挖礦以來,全球比特幣能源消耗已經減少了一半以上。 現階段,比特幣每年大約消耗68太瓦時(TWh)的電力.

1900/1/1 0:00:00
7.5早行情:行情實現三連陽 日內有望破前高_BTC

據歐易OKEx的數據顯示,當前BTC/USDT現貨報價為34889美元,24小時漲幅為1.27%.

1900/1/1 0:00:00
思考:幣圈迎來重拳整治背后的重點有哪些?_區塊鏈

前言: 近期因為工作原因,沒有更新文章內容,雖然我沒有發文,但是也時刻關注著熱點內容和最近的大事件.

1900/1/1 0:00:00
InstaDApp:DeFi的入口和基石_INS

第一節研報要點 定性的來看,InstaDApp的DSL(DeFiSmartLayer,DeFi智能層)架構在DeFi中具有獨創性,其意在成為用戶和DApp之間的單獨一層,未來值得期待.

1900/1/1 0:00:00
ads