以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > DAI > Info

SAFE:SafeDollar攻擊事件分析

Author:

Time:1900/1/1 0:00:00

一、事件概覽北京時間6月28日,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,Polygon生態算法穩定幣項目SafeDollar遭到黑客攻擊。攻擊事件發生后,SafeDollar項目所發行的穩定幣價格從1.07美元,瞬間跌至歸零。有消息指出,一份未經證實的合約抽走了25萬美元的USDC和USDT;后經Rugdoc.io分析證實,此次攻擊事件中黑客總共獲利價值25萬美元的USDC和USDT。隨后,SafeDollar項目方發布公告,要求投資者停止所有與SDO相關的交易。目前,SDO交易已暫時中止。鑒于此次攻擊事件所具備的標志意義,成都鏈安·安全團隊第一時間介入分析。繼5月初BSC諸多鏈上項目頻頻被黑之后,6月末Polygon生態也開始被黑客盯上,“潘多拉魔盒”是否已經悄然開啟?借此事件,成都鏈安通過梳理攻擊流程和攻擊手法,提醒Polygon生態項目加強安全預警和防范工作。

Safe、BitKeep等超30個項目合作推出MEV Blocker RPC:4月5日消息,Safe、BitKeep、DODO、Oasis、Balancer、1inch等超過30個以太坊項目合作推出MEV Blocker RPC,該工具旨在保護用戶免受各種類型的MEV攻擊。

MEV Blocker RPC是一個路由用戶交易到“搜索器”網絡而不是公共內存池的工具,這些搜索器通過競標獲取反向運行交易的權利,保護用戶免受搶先交易和三明治攻擊。[2023/4/5 13:46:40]

二、事件分析此次攻擊事件中,攻擊者利用PLX代幣轉賬時實際到賬數量小于發送數量以及SdoRewardPool合約抵押和計算獎勵上存在的邏輯缺陷,借助“閃電貸”控制SdoRewardPool合約中抵押池的抵押代幣數量,進而操縱獎勵計算,從而獲得巨額的SDO獎勵代幣,最后使用SDO代幣將SDO-USDC和SDO-USDT兩種兌換池中USDC和USDT全部兌換出來。攻擊者地址:0xFeDC2487Ed4BB740A268c565daCdD39C17Be7eBd攻擊合約:0xC44e71deBf89D414a262edadc44797eBA093c6B00x358483BAB9A813e3aB840ed8e0a167E20f54E9FB攻擊交易:0xd78ff27f33576ff7ece3a58943f3e74caaa9321bcc3238e4cf014eca2e89ce3f0x4dda5f3338457dfb6648e8b959e70ca1513e434299eebfebeb9dc862db3722f30x1360315a16aec1c7403d369bd139f0fd55a99578d117cb5637b234a0a0ee5c14以下分析基于以下兩筆交易:0xd78ff27f33576ff7ece3a58943f3e74caaa9321bcc3238e4cf014eca2e89ce3f0x1360315a16aec1c7403d369bd139f0fd55a99578d117cb5637b234a0a0ee5c14攻擊者首先使用PolyDex的WMATIC和WETH池進行PLX借貸,如下圖所示:

ENVELOP發布使用Envelop協議和封裝技術的SAFT服務:5月22日消息,ENVELOP 發布使用 Envelop 協議和封裝技術的 Save Automated Future Token 服務,借助 SAFT wNFT,社區和 VC 可以最有效地管理所有籌款活動,并且成本為零。

據悉,WrappedNFT 是動態的,包括根據歸屬條款定義解鎖日期的項目 Token。這可以保護初創公司免受 Token 傾銷,并允許 VC 在選擇在解鎖日期之前以盈利方式出售時立即擁有流動性。為了增加交易價值,wNFT 可以作為藝術品、游戲物品或與項目相關的任何其他用例提供給持有者。wNFT 可以在 scotch.sale 上出售,支持屬性過濾,對買賣雙方可見。[2022/5/22 3:33:46]

ChainSafe Systems發布ChainSafe Gaming SDK:ChainSafe Systems在推特上宣布發布ChainSafe Gaming SDK,其愿景是構建強大的工具,幫助開發者和玩家連接到任何區塊鏈,并將加密經濟學與游戲世界聯系起來。[2021/6/16 23:41:02]

接下來,攻擊者通過攻擊合約反復進行抵押提取,主要是為了減少SdoRewardPool合約中SDO抵押池中的抵押代幣數量。

PLX代幣合約進行代幣轉移時,如果from地址不在_isExcludedFromFee列表中,并且to地址也不在_isExcludedToFee列表中,會對轉移的代幣收取一次獎勵基金以及銷毀本次轉移代幣數量的0.05%。

ETC Labs將與Chainsafe合作推出ETC跨鏈資產rETC:10月30日消息,ETC Labs將與Chainsafe合作于下月推出跨鏈資產 rETC。持有ETC資產的用戶可以在以太坊經典區塊鏈上通過智能合約鎖定其資產,而在以太坊區塊鏈上得到對應資產rETC,然后通過rETC參與ETH生態項目。[2020/10/30 11:14:40]

而在SdoRewardPool合約中,記錄的數量為調用者所轉移的數量,沒有減去轉移過程中損耗的部分,在進行提取操作時,提取的數量為記錄的數量,超出了用戶實際抵押到本合約的數量,故會造成該抵押池中抵押代幣的異常減少。

CFTC前主席:Telegram的禁令可能是SAFT框架的“喪鐘”:美國商品期貨交易委員會(CFTC)前主席Gary Gensler表示,周二聯邦法院對Telegram的判決(禁止向投資者交付GRAM)可能是SAFT(未來代幣簡單協議)的“喪鐘”。聯邦法院的裁決意味著SAFT框架并不能保證代幣免受證券法的約束,具體代幣仍需通過豪伊測試。(Decrypt)[2020/3/27]

攻擊者事先通過攻擊合約在該抵押池中抵押214.235502909238707603PLX,在攻擊合約攻擊完成后,控制攻擊合約在該抵押池中進行獎勵領取,由于SdoRewardPool合約中更新抵押池信息時使用的是balanceOf函數獲取本合約中抵押代幣數量,故獲取到的數量是惡意減少之后的數量,繼而造成PLX抵押池中accSdoPerShare變量異常增大,從而獲取到巨額的SDO代幣獎勵。最后利用獲取到的SDO代幣將SDO-USDC和SDO-USDT兩種兌換池中USDC和USDT全部兌換出來。

三、事件復盤事實上,此次攻擊事件并不復雜,但是值得引起注意。首先添加抵押池時添加了非標準代幣,再加上計算獎勵時使用了balanceOf函數進行抵押代幣數量的獲取,所以導致了此次攻擊事件的發生。從安全審計的角度看,項目方作為添加抵押池的管理員,對于將要添加的抵押池中的抵押貸幣,一定要三思而后行。通脹通縮類以及轉移數量與實際到賬數量不同的代幣,不建議作為抵押池的抵押代幣;如果因業務需要一定要添加這些類型的代幣作為獎勵代幣,務必與其他標準代幣分開處理。同時在抵押池中建議使用一個單獨的變量作為抵押數量的記錄,然后計算獎勵時,使用通過此變量來獲取抵押代幣數量,而不是使用balanceOf函數。另外,此次攻擊事件對于Polygon生態鏈上項目而言,是否會是一個“危險信號”,Polygon生態的“潘多拉魔盒”是否會就此打開,這還需要觀望后續態勢發展。不過,回望5月,BSC生態發生第一起閃電貸攻擊之后,便就此拉開了“BSC黑色五月”序幕。鑒于前車之鑒,成都鏈安在此提醒,Polygon生態鏈上項目未雨綢繆,切實提高安全意識。

Tags:SDOUSDSAFEETCWSDOGEbitvenus交易所USDT腫么提現SAFEMONEY幣etc幣未來價格預測

DAI
ROC:ic.rocks是什么?| 不一樣的「DFINITY」詞貼

ic.rocks是專為DFINITY互聯網計算機設計的區塊瀏覽器,由社區創建。用戶通過ic.rocks可以查看當前DFINITY網絡的情況,包括子網、節點、容器、提案以及神經元等數據情況.

1900/1/1 0:00:00
IDO:七月IDO第三彈,7個熱門項目即將上線

七月的第三周,我們整理了一份囊括了7個熱門項目的IDO名單。下文中,我們從項目名稱、定位、代幣進展和IDO詳情等幾個維度介紹這些新項目.

1900/1/1 0:00:00
POL:Polygon在解決「區塊鏈不可能三角」的創新及價值所在

撰文:SungjaeHan,區塊鏈投資機構GenesisBlockVentures分析師翻譯:盧江飛最近,Polygon宣布推出了一個名為「Avail」的全新數據可用層.

1900/1/1 0:00:00
以太坊:鯨魚出動支持Eth 2.0,單日向存款合約地址存入10萬枚ETH

加密鯨魚可能是“害羞”但聰明的生物,但是當你設法在行動中捕捉到鯨魚蹤跡時,這會是一個壯觀的景象——例如,上周就有單個實體通過133個不同地址將10萬枚ETH存入Eth2.0存款合約.

1900/1/1 0:00:00
ETH2:倫敦升級即將啟動,ETH仍低迷盤整

以太坊基金會于7月15日公布了倫敦升級最新進展,本次升級將在主網達到12965000區塊高度時被激活,具體時間預計在8月3日至5日之間.

1900/1/1 0:00:00
ETH:去年的這個時候,DeFi在大家眼中是什么樣子?

經過近一年周期的發展,DeFi逐漸進入沉穩發展狀態,其已經不止一次的被認為是挑戰傳統金融邏輯的勁敵,且一輪又一輪的創新還在不斷演進.

1900/1/1 0:00:00
ads