2022年9月8日,CertiKSkynet天網監測到NewFreeDAO(NFD)項目遭遇了閃電貸攻擊。
漏洞在NFD項目部署的一個未經驗證的獎勵合約中,攻擊者利用閃電貸借入NFD代幣,并將其發送到攻擊合約。隨后攻擊合約則調用未經驗證的獎勵合約,向攻擊者發送更多的NFD代幣。
攻擊者在3次攻擊中重復這個過程,獲取了4481個WBNB,價值約125萬美元。
由于攻擊者大量拋售NFD代幣,該代幣的價格已經暴跌超過99%。
攻擊步驟
Booster去中心化生態將于8月10日在Newland正式上線:據官方消息 ,Defi聚合器平臺Booster與一站式去中心化生態平臺Newland達成合作,未來雙方將在去中心化業務、資源對接等層面為彼此賦能發展。8月10日,Newland將迎來平臺功能的全新優化升級,而Booster去中心化生態也將于8月10日 10:00 (UTC)在Newland平臺正式上線,用戶可通過Newland平臺參與Booster生態。
據悉,Booster是一款綜合性收益聚合器,Newland是集多個公鏈為一體的去中心化生態平臺,支持一站式DeFi借貸、Staking、聚合生態、多鏈(DOT、SOL)等服務。[2021/8/9 1:43:28]
①攻擊者部署了一個惡意合約。在同一筆交易中,它調用了以下函數,將自己添加為合約成員。
ZG “NEW+”打新項目AVAX首期超募2472倍:據官方消息,ZG “NEW+”打新項目AVAX首期超募2472倍,7月20日價格將上漲,今日下午價格仍為0.5USDT。
據官方消息,ZG.COM“NEW+”第16期項目AVAX于今日11:00結束申購,總申購額度為2500 USDT,總申購金額達6,182,000USDT,申購金額超募于申購額度2472倍,此次共有1127人參與申購。
根據此前規則,由于超募超過50倍,7月20日的NEW+價格將上漲至1.5USDT。今日下午2點的申購價格仍為0.5USDT。
Avalanche - 簡稱為Ava,使用突破性的共識協議構架,是一個在一秒內確認交易的智能合約平臺。[2020/7/17]
動態 | 牛頓主網NewChain安全運行一周年:據官方消息,牛頓主網NewChain已安全運行365天,鏈上交易突破489萬筆,區塊高度超過1051萬。NewChain是由牛頓開發的高性能主鏈,TPS達到5000以上,滿足商業應用要求。基礎設施經過一年的安全運行,日益完善。在NewChain之上,已接入鏈商零售NewMall、萬企商城和賽創園等應用。[2019/12/18]
②攻擊者執行了三次閃電貸攻擊,借助第一筆閃電貸款,借入250個WBNB,并將其交易為6,313,508個NFD代幣。
③這些代幣被發送到一些未經驗證的合約中。
④這調用了0xe2f9d09c,輸入NFD代幣地址0x0000000000000000000038c63a5d3f206314107a7a9fe8cbba29d629d4f9。
聲音 | Ethnews:EOSRAM暴漲引發關于EOS的擔憂:據Ethnews分析,EOSRAM的價格上漲了600%,引發了對囤積可能阻礙DAPP生產并危及EOS自身未來的擔憂。EOS社區正在討論該采取什么措施。一位用戶建議廢除甚至沒收“擅自占用者”擁有的內存。有些人主張回歸早期的R系統 AM只能按最初支付的價格出售。一項非正式的民意調查表明,略微多數支持增加RAM的數量。[2018/7/4]
⑤這觸發了NFD項目部署的另一個未經驗證的獎勵合約0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e.0x6811e3b9()。
之后,未驗證的合約實際上從獎勵合約中收到了額外的525,283個NFD代幣——總計6,838,792個NFD代幣,這些代幣被發回給了攻擊合約。
⑥在上述交易中,NFD合約錯誤地釋放了額外的525,283NFD。因此當攻擊者完成攻擊時,獲取了總計343,323,371個NFD代幣,在償還了最初的250WBNB貸款后,獲利4481WBNB,總價值約125萬美元。
⑦最后攻擊者通過兩筆交易,將2,000WBNB換為556,556.72USDT。目前攻擊者錢包仍持有2,481WBNB。
漏洞分析
本次攻擊事件的漏洞位于NFD項目部署的一個未經驗證的獎勵合約。由于NFD合約的源代碼在BSCScan上未被驗證,因此還無法確定攻擊者用來利用合約的確切機制。
資金去向
攻擊者總共獲得了4481個WBNB,并將其中的2000個換成了55.7萬枚USDT,剩下的WBNB仍然在攻擊者的賬戶中。
將2000WBNB交易為USDT的兩筆交易:
https://bscscan.com/tx/0x8c035fc9c3d944b3dd4a0ea721c119240cb624e79b7625a16173ad6682410599
https://bscscan.com/tx/0xda4b4de6ecacfe9b8b60167a2010630aeec103ab51920eb2e1b94ba1fef6c95b
相關地址
攻擊者賬戶:
https://bscscan.com/address/0x22c9736d4fc73a8fa0eb436d2ce919f5849d6fd2
攻擊合約:
https://bscscan.com/address/0xa35ef9fa2f5e0527cb9fbb6f9d3a24cfed948863
未經驗證的獎勵合約:
https://bscscan.com/address/0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e
WBNB-USDT對:
https://bscscan.com/address/0x16b9a82891338f9ba80e2d6970fdda79d1eb0dae
USDT-NFD對:
https://bscscan.com/address/0x26c0623847637095655b2868c3182b2285bdaeaf
寫在最后
攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會持續于官方公眾號發布與項目預警相關的信息。
CertiK的端到端安全解決方案,從智能合約審計和KYC項目背景調查服務,到Skynet天網動態掃描系統和SkyTrace等區塊鏈分析工具,以及漏洞賞金計劃,助力每一個項目充分發揮潛力的同時為Web3.0打造用戶和投資者高參與的生態系統。
Tags:NEWNFDWBNBSDTTotem New Earth SystemsNFD價格wbnb是騙局嗎wstUSDT幣
2020-2022年期間區塊鏈行業發生了極快的變化,從2019年-2020年上半年初幾乎覺得沒有什么有意思的一級項目與新創意,到Compound直接帶動Defi熱潮,繼而帶動了DEX,NFT.
1900/1/1 0:00:00本推薦列表可能是一個活的信息來源,每個信息源都會以一定頻率更新,適合剛入門web3的小伙伴,挑選1、2個你欣賞其策展邏輯和水平的信息源,深入探索。這遠比在推特亂撞更適合web3入門學習.
1900/1/1 0:00:00Sui的應用細分賽道:NFT與GameFi在下一個公鏈發展周期中,新公鏈的主要布局思路有兩個:能夠承接以太坊溢出的EVM兼容的L1、擁有特色技術或創新架構的公鏈.
1900/1/1 0:00:002022年11月將臨的世界杯賽事,正在給加密領域帶來更多期待。上周Binance上線足球粉絲Token指數U本位永續合約,就是一個很好的信號,合約標的指數用于追蹤在該平臺現貨市場上一系列頭部市值.
1900/1/1 0:00:00最新數據顯示,截至1月5日,JustLendDAO市場規模已超33億美元。其中,存款總量超29億美元,借款總量超3億美元,挖礦獎勵超6400萬美元.
1900/1/1 0:00:00加密世界的競爭向來殘酷,除了Uniswap這樣極個別的基礎設施組件,絕大部分都難免成為一閃而過的流星,所以從投資角度,「單押項目,不如布局賽道與生態」.
1900/1/1 0:00:00