以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > OKB > Info

DOGE:黑客四連擊,近期項目被攻擊事件分析-ODAILY

Author:

Time:1900/1/1 0:00:00

北京時間2022年4月24日下午4時33分,CertiK審計團隊監測到WienerDOGE項目被惡意利用,造成了3萬美元的損失。攻擊者利用WDODGE的收費機制和交換池之間的不一致,發起了攻擊。

事件發生的根本原因是:通過緊縮的代幣合約造成發送方的LP對沒有被排除在轉賬費用之外。因此,攻擊者能夠將LP對中的通貨緊縮代幣耗盡,進而導致貨幣對價格失衡。

而隨后于同一天內接連發生了另外三起惡意利用:

The Block分析師:Poly Network遭到攻擊或因黑客制造假的交易簽名來竊取資金:The Block分析師Igor Igamberdiev表示:“Poly Network遭到攻擊的根本原因是密碼學問題,通常情況不會發生。本次攻擊應該是攻擊者以某種方式制造了一個假的交易簽名來竊取資金。”今日晚間,Poly Network遭到攻擊,共計超6億美元資產被轉至三個地址。(The Block)[2021/8/10 1:46:51]

下午6時20分,LastKilometer項目被閃電貸攻擊利用,造成了26495美元的損失;

EasyFi遭黑客攻擊后發布臨時補償計劃:據官方消息,DeFi借貸協議EasyFi為Polygon協議用戶發布臨時補償計劃。1.按快照補償每個地址的貸方/存款人凈余額的100%。 2.Polygon快照區塊高度:13464478(被黑前)。3.用戶將分兩部分獲得資金,預先支付25%;4.用戶存入的總額的剩余75%以EZ(IOU)支付,由EASY V2代幣EZ按1:1比例擔保。此前消息,Easyfi遭受黑客攻擊,被盜600萬美元穩定幣以及298萬個EASY代幣。[2021/5/8 21:36:15]

晚上9時45分,Medamon項目被閃存貸攻擊利用,造成3159美元的損失;

動態 | 黑客利用谷歌廣告系統勒索比特幣:近日,KrebsOnSecurity組織揭露了一起新的比特幣贖金騙局。該騙局利用谷歌AdSense廣告系統,威脅發布者和網站,黑客稱如果不按期交錢,將用機器人生成的視圖充斥整個網站,以觸發Google的反欺詐措施。

據KrebsOnSecurity披露,一些利用Google AdSense網絡投放橫幅廣告的網站最近收到了通過電子郵件進行勒索的試探。搞破壞的黑客要求提供5000美元的等價比特幣,才能免于遭受AdSense攻擊。

谷歌對此回復稱,這種破壞活動實際上極為罕見,表示谷歌擁有檢測機制,可以主動檢測潛在的破壞活動并將其納入執法系統。同時,谷歌還表示,無效流量通常會在廣告商和發布商受到影響之前就會被過濾掉。(新浪科技)[2020/2/20]

緊接著,PI-DAO項目被閃存貸攻擊利用,造成了6445美元的損失。

動態 | 早期加密貨幣倡導者聲稱黑客事件有助于比特幣的價格上漲:早期加密貨幣倡導者Trace Mayer在出席播客節目時表示,Quadriga CX或Mt. Gox這樣的黑客事件有利于比特幣的價格上漲。Mayer以Coinbase為例解釋稱,Coinbase有2000萬客戶,假設每個客戶擁有0.1個比特幣,那就相當于200萬個比特幣。假設Coinbase關閉了,客戶失去了200萬比特幣,這將導致本已稀缺的商品變得稀缺。因此,按照供需邏輯,這種黑客行為可能反過來推動其他持有者手中的比特幣價格上漲。(AMBCrypto)[2019/12/16]

這一系列攻擊的攻擊者與攻擊方法,與同一天早些時候發生的WienerDOGE相同。

攻擊步驟

①攻擊者通過閃電貸獲得了2900枚BNB。

②攻擊者將2900枚BNB換成了6,638,066,501,83枚WDOGE。

●LP的狀態:

○WdogE:199,177,850,468

○WBNB:2978

③將5,974,259,851,654枚WDOGE發送到LP,由于WDOGE比BNB多,所以LP現在處于不平衡狀態。

●LP的狀態:

○WDOGE:5,178,624,112,169

○WBNB:2978

④調用skim()函數,從LP中取回4,979,446,261,701枚WDOGE。由于攻擊者在調用skim()之前發送了大量的WDOGE,所以LP將支付大量的費用。這一操作清空了LP內的WDOGE的數量。

攻擊者還調用可sync()函數來更新LP內的儲備值。若干枚WDOGE和2978枚BNB的存在,造成了WDOGE的價格與WBNB相比異常昂貴。

⑤最后,攻擊者用剩下的WDOGE換回了2978枚BNB,償還了閃電貸,賺取了78枚BNB。

而其他幾個項目被攻擊的流程步驟也相似:

閃電貸取得WBNB,并用WBNB換取LP中的通縮代幣;

直接將通縮的代幣轉移到LP對上;

調用skim()函數,迫使LP對輸回通縮代幣;

由于轉讓費的存在,攻擊者會重復步驟2~3,將LP對中的通縮代幣耗盡;

通過LP對中的價格不平衡來獲取利潤。

漏洞分析

當用戶轉移一定數量的WDOGE時,除了費用,還有4%的代幣將被銷毀。

因此,如果LP發送100枚WDOGE,其余額將減少104枚WDOGE。

所以,LP應該被排除在費用和代幣銷毀之外。

資產去向

寫在最后

如果同時對代幣和LP合約進行審計,這一風險因素就可以被發現。

然而,如果只有代幣合約被審計,那么交換機制將被視為一個外部依賴。

而這種情況在審計過程中將會指出第三方依賴風險。具體為:如果是代幣合約,CertiK審計專家將會與項目方討論,確認是否需要除去LP對的手續費;如果是LP對方的合約,CertiK審計專家會提出通縮幣的討論,并且提醒項目方可能存在的風險。

Tags:DOGDOGEWDOWDOGEarbdoge幣上幾家交易所NINJADOGEwdo幣市場價是多towdogecoin

OKB
區塊鏈:人人都在討論的Web3是網絡的未來還是流行詞?-ODAILY

最近,科技、加密貨幣和風險投資領域都熱衷于討論一個流行詞匯,而且當今的對話中充滿了這個詞,甚至如果你不把它添加到你的Twitter個人簡介里,就說明你不關心未來,這個詞就是Web3.

1900/1/1 0:00:00
TRI:Rikkei Finance遭黑客攻擊,損失已有百萬美元-ODAILY

前言 北京時間2022年4月15日,知道創宇區塊鏈安全實驗室監測到DeFi協議RikkeiFinance遭到黑客攻擊,被盜資金中已有2600枚BNB被轉入TornadoCash.

1900/1/1 0:00:00
PARA:Paraluni攻擊事件分析-ODAILY

1.前言 北京時間2022年03月13日,知道創宇區塊鏈安全實驗室監測到BSC上Paraluni項目遭到攻擊,黑客獲利約170萬美金。知道創宇區塊鏈安全實驗室將對本次事件深入跟蹤并進行分析.

1900/1/1 0:00:00
NFT:How to NFT 6:游戲-ODAILY

游戲總是被壟斷在中心化的企業實體手中,游戲的開發商或發行商對游戲中的虛擬經濟有嚴格限制。玩家不能自由交易他們在游戲中的物品和資產,通常需要非法使用第三方平臺,依靠不安全的P2P交易來完成.

1900/1/1 0:00:00
WEB:從虛擬餐廳到虛擬時裝秀,行業巨頭掀起元宇宙商標注冊潮-ODAILY

自從Facebook更名為Meta后,關于元宇宙的討論愈發激烈,這一詞匯也越來越多的出現在我們的視野里。這是一個非常有趣的話題.

1900/1/1 0:00:00
COI:二月安全事件總結與回顧-ODAILY

前言 新春二月,知道創宇區塊鏈安全實驗室拓寬了對區塊鏈安全信息收集總結的信息廣度,將專注于典型安全事件的視角,拔升到了對整個區塊鏈安全資訊的審視.

1900/1/1 0:00:00
ads