2022年9月8日,CertiKSkynet天網監測到NewFreeDAO(NFD)項目遭遇了閃電貸攻擊。
漏洞在NFD項目部署的一個未經驗證的獎勵合約中,攻擊者利用閃電貸借入NFD代幣,并將其發送到攻擊合約。隨后攻擊合約則調用未經驗證的獎勵合約,向攻擊者發送更多的NFD代幣。
攻擊者在3次攻擊中重復這個過程,獲取了4481個WBNB,價值約125萬美元。
由于攻擊者大量拋售NFD代幣,該代幣的價格已經暴跌超過99%。
攻擊步驟
①攻擊者部署了一個惡意合約。在同一筆交易中,它調用了以下函數,將自己添加為合約成員。
數據:萊特幣期貨的未平倉合約已達到4.2億美元:金色財經報道,萊特幣期貨的未平倉合約已經達到4.2億美元,年初至今增長了22%。這一峰值可能受到未來70天萊特幣即將到來的減半事件的影響。CoinGecko數據顯示,萊特幣本月小幅上漲,從86美元漲至92美元,漲幅近7%。在過去一年里,它的哈希率也大幅飆升,為該資產的概況增加了另一個有利的指標。[2023/5/24 15:21:46]
②攻擊者執行了三次閃電貸攻擊,借助第一筆閃電貸款,借入250個WBNB,并將其交易為6,313,508個NFD代幣。
③這些代幣被發送到一些未經驗證的合約中。
④這調用了0xe2f9d09c,輸入NFD代幣地址0x0000000000000000000038c63a5d3f206314107a7a9fe8cbba29d629d4f9。
Gitcoin與Index Coop合作推出gtcETH,可通過ETH質押獎勵為Gitcoin Grants提供資金:3月8日消息,Gitcoin 公布 gtcETH(Gitcoin Staked ETH Index)的詳細信息,gtcETH 是與加密貨幣指數協議 Index Coop 社區合作創建,是一個單獨的代幣,可通過 ETH 質押獎勵為 Gitcoin Grants 提供資金,該代幣將基于 Index Protocol 構建,并包含 Rocket Pool、Lido 和 StakeWise 流動性質押代幣。[2023/3/8 12:49:05]
⑤這觸發了NFD項目部署的另一個未經驗證的獎勵合約0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e.0x6811e3b9()。
比特幣礦工已從基于Ordinals協議的NFT交易中賺取57.4萬美元:金色財經報道,Dune Analytics數據顯示,自12月中旬推出比特幣網絡NFT協議Ordinals推出以來,用戶已將近74,000個NFT寫入比特幣區塊鏈,迄今為止,比特幣礦工累計獲得574,000美元的BTC交易費用。這些NFT包括Bitcoin Punks和OnChainMonkey。[2023/2/14 12:06:12]
之后,未驗證的合約實際上從獎勵合約中收到了額外的525,283個NFD代幣——總計6,838,792個NFD代幣,這些代幣被發回給了攻擊合約。
⑥在上述交易中,NFD合約錯誤地釋放了額外的525,283NFD。因此當攻擊者完成攻擊時,獲取了總計343,323,371個NFD代幣,在償還了最初的250WBNB貸款后,獲利4481WBNB,總價值約125萬美元。
過去七天,去中心化交易所的交易量達320億美元:11月14日消息,據Dune Analytics的數據,去中心化交易所 (DEX) 的交易量在過去 7 天內達到了驚人的 320 億美元。其中,Uniswap占同期交易量的 209 億美元,占比最高。隨后是 Curve 71億美元,DODO 12.4億美元和Balancer 10.6億美元。[2022/11/14 13:03:23]
⑦最后攻擊者通過兩筆交易,將2,000WBNB換為556,556.72USDT。目前攻擊者錢包仍持有2,481WBNB。
漏洞分析
本次攻擊事件的漏洞位于NFD項目部署的一個未經驗證的獎勵合約。由于NFD合約的源代碼在BSCScan上未被驗證,因此還無法確定攻擊者用來利用合約的確切機制。
資金去向
攻擊者總共獲得了4481個WBNB,并將其中的2000個換成了55.7萬枚USDT,剩下的WBNB仍然在攻擊者的賬戶中。
將2000WBNB交易為USDT的兩筆交易:
https://bscscan.com/tx/0x8c035fc9c3d944b3dd4a0ea721c119240cb624e79b7625a16173ad6682410599?
https://bscscan.com/tx/0xda4b4de6ecacfe9b8b60167a2010630aeec103ab51920eb2e1b94ba1fef6c95b?
相關地址
攻擊者賬戶:
https://bscscan.com/address/0x22c9736d4fc73a8fa0eb436d2ce919f5849d6fd2?
攻擊合約:
https://bscscan.com/address/0xa35ef9fa2f5e0527cb9fbb6f9d3a24cfed948863?
未經驗證的獎勵合約:
https://bscscan.com/address/0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e?
WBNB-USDT對:
https://bscscan.com/address/0x16b9a82891338f9ba80e2d6970fdda79d1eb0dae?
USDT-NFD對:
https://bscscan.com/address/0x26c0623847637095655b2868c3182b2285bdaeaf?
寫在最后
攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會持續于官方公眾號發布與項目預警相關的信息。
CertiK的端到端安全解決方案,從智能合約審計和KYC項目背景調查服務,到Skynet天網動態掃描系統和SkyTrace等區塊鏈分析工具,以及漏洞賞金計劃,助力每一個項目充分發揮潛力的同時為Web3.0打造用戶和投資者高參與的生態系統。
來源:金色財經
今日凌晨的歐聯杯本來是場勢均力敵的較量,賽前大表哥也給球迷整理了歐聯杯賽事情報,做了歐聯杯足球賽事分析,結果最后因為其他一些因素吧,曼聯在自己的主場老特拉福德球場0-1輸給了皇家社會.
1900/1/1 0:00:00毫無疑問,我們正處在一個充滿嚴峻挑戰的時期。對于每個個體來說,都面臨著選擇,我們可以選擇在壓力和恐懼下,做出簡單、隨大流的錯誤決定,也可以選擇在克服恐懼后,做出艱難、孤獨的正確決定.
1900/1/1 0:00:00周二市場需要密切關注美國8月的ISM非制造業PMI數據,而澳洲聯儲也將會公布利率決議。周一因北美市場休市,市場整體表現較為清淡.
1900/1/1 0:00:00通過紀念版NFT,記住以太坊合并這一非凡的歷史時刻。撰文:WilliamM.Peaster編譯:aididiaojp.eth,ForesightNews距離區塊鏈智能合約網絡最大的進化以太坊合并.
1900/1/1 0:00:00在9月初,2022世界人工智能大會上,高通公司總裁兼CEO安蒙的主題演講直指——元宇宙。安蒙認為,元宇宙是互聯網的未來,也就是空間互聯網,它存在于一個多維的虛擬世界.
1900/1/1 0:00:009月7日,以“讓世界實時共享華夏文明之美”為主題的湖南大數據交易所“文化大數據交易中心”上線運營暨高峰論壇成功舉辦.
1900/1/1 0:00:00