前言
北京時間2022年4月30日,知道創宇區塊鏈安全實驗室監測到BSC鏈上的bDollar項目遭到價格操縱攻擊,導致損失約73萬美元。
知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。
基礎信息
攻擊者地址:0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e
攻擊合約:0x6877f0d7815b0389396454c58b2118acd0abb79a
數據:占供應量20%的ETH已被投入到質押中:7月10日消息,據Dune Analytics數據顯示,以太坊信標鏈質押總量達23,813,911枚ETH,質押ETH已占ETH總供應量的20.00%。[2023/7/10 10:46:08]
tx:0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4
CommunityFund合約:0xEca7fC4c554086198dEEbCaff6C90D368dC327e0
漏洞分析
漏洞關鍵在于CommunityFund合約中的claimAndReinvestFromPancakePool方法在使用Cake代幣進行代幣轉換時,會對換取的WBNB數量進行判斷并且會自動把換取的WBNB的一半換為BDO代幣;而之后合約會自動使用合約中的WBNB為池子添加流動性,若此時BDO代幣的價值被惡意抬高,這將導致項目方使用更多的WBNB來為池子添加流動性。
FDIC主席:未能理解與加密相關風險加速了Signature Bank的倒閉:金色財經報道,美國聯邦存款保險公司(FDIC)主席 Martin J. Gruenberg 表示,管理不善是 Signature Bank 失敗的根本原因,未能理解與加密貨幣相關的風險加速了其倒閉的速度。此外,該銀行未能了解其與加密行業存款相關聯和依賴的風險,也未能了解其容易受到 2022 年末至 2023 年發生的加密行業動蕩蔓延的影響。
Gruenberg 稱,SVB 和 Signature Bank 的倒閉分別導致了 161 億美元和 24 億美元的損失。資產在 1000 億美元或以上的銀行值得特別關注,包括考慮長期債務要求以促進有序解決。[2023/5/16 15:06:17]
NFT集體證明正在為其Moonbirds社區構建3D世界:金色財經報道,NFT 集體證明 Proof 正在與 3D 世界構建平臺 Mona 合作推出“Moonbirds Monaverse”,這是 Moonbirds 社區的一個新的社交和虛擬世界,他們在2023 年共識大會上宣布了這一消息。
Mona 將提供技術支持,幫助 Proof 拓展虛擬世界空間。兩家公司表示,此次合作旨在創造社區體驗,例如現場市政廳、觀看派對和藝術展示。周四,“100 PROOF 播客”現場直播了虛擬體驗的早期預覽。[2023/4/28 14:31:39]
而最為關鍵的是,攻擊者實施攻擊前,在WBNB/BDO、Cake/BDO、BUSD/BDO池子中換取了大量BDO代幣導致BDO價格被抬高。
杭州拱墅區成功發放首批數字人民幣補貼76.8萬元:金色財經消息,近日,浙江省杭州市拱墅區市場監管局結合省、市經濟穩進提質一攬子政策,拱墅區成為全市首個爭取到面向消費者發放財政補貼的城區。該局聯合交警拱墅大隊、區金融辦等部門做好前期調研摸底,牽頭制定《拱墅區電動自行車“促消費穩增長”數字人民幣補貼實施方案》,以數字人民幣的形式為參加提前淘汰置換活動的備案非標電動車主發放補貼。自六月啟動補貼政策以來,已通過工、農、中、建、交、郵儲銀行為2560名非標車主發放數幣補貼76.8萬元。(中國市場監管新聞網)[2022/7/22 2:31:56]
在我們對攻擊交易進行多次分析之后,發現事情并沒有那么簡單,該次攻擊極有可能是被搶跑機器人搶跑交易了,依據如下:
1、該筆攻擊交易比BSC鏈上普通交易Gas費高很多,BSC鏈上普通交易默認Gas費為5Gwei,而該筆交易竟高達2000Gwei。
2、我們發現該攻擊合約與攻擊者地址存在多筆搶跑交;
3、我們在相同區塊內找尋到了真實攻擊者的地址與交易,該交易被回滾了。
攻擊流程
1、攻擊者使用閃電貸貸款670枚WBNB;
2、之后攻擊者將WBNB在各個池子中換取大量BDO代幣;
3、隨后攻擊者再次使用閃電貸貸款30516枚Cake代幣;
4、將貸款的Cake代幣進行swap,換取400WBNB,其中200枚被協議自動換取為BDO代幣;
5、攻擊者將WBNB換取Cake代幣用于歸還閃電貸;
6、最后,攻擊者將升值后的3,228,234枚BDO代幣換取3020枚WBNB,還款閃電貸671枚,成功套利2381枚WBNB價值約73萬美元。
總結
本次攻擊事件核心是合約會為流動性池自動補充流動性,而未考慮代幣價格是否失衡的情況,從而導致項目方可能在價格高位對流動性進行補充,出現高價接盤的情況。
建議項目方在編寫項目時多加注意函數的邏輯實現,對可能遇到的多種攻擊情況進行考慮。
在此提醒項目方發布項目后一定要將私鑰嚴密保管,謹防網絡釣魚,另外,近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
注:本文摘自手游大廠Com2uS的總裁KyuLee在2022年韓國區塊鏈周上的演講。大家有玩過Com2uS的游戲嗎?Com2uS從1998年創立之初就開始制作手機游戲,是首批手機游戲公司之一,現.
1900/1/1 0:00:00全世界最大的預言機網絡Chainlink集成至高速區塊鏈Solana,將推動DeFi可擴展性邁向新的臺階.
1900/1/1 0:00:00原文作者:Hasu,JeffAmico,andJacobPhillips原文標題:MusingsonGovernanceDAO領域的發展狀態雖然仍處于較為初期階段.
1900/1/1 0:00:00Aug.2022,ThiagoFreitasDataSource:ShibaInuDashboard8月2日,MagicEden宣布拓擴展到以太坊網絡的計劃.
1900/1/1 0:00:00正如整個以太坊社區眾所周知的那樣,很長一段時間以來,參與以太坊共識和執行層的團隊一直在研究實際上被認為是以太坊網絡的下一階段:從證明過渡到基于計算能力的共識機制;權益證明機制.
1900/1/1 0:00:007月19日,BinanceNFT攜手HALO在YouTube舉辦了主題為“NFTAllStars:3DAvatarintheMetaversewithHALO”的AMA活動.
1900/1/1 0:00:00