據CertiK安全團隊監測,, Wiener DOGE項目于北京時間2022年4月24日下午4時33分被惡意利用,造成了3萬美元(折合人民幣約12.6萬)的損失。攻擊者利用WDODGE的收費機制和交換池之間的不一致,發起了攻擊。
事件發生的根本原因是:通過緊縮的代幣合約造成發送方的LP對沒有被排除在轉賬費用之外。因此,攻擊者能夠將LP對中的通貨緊縮代幣耗盡,進而導致貨幣對價格失衡。
而隨后于同一天接連發生了另外三起惡意利用:
同天下午6時20分,Last Kilometer項目被閃電貸攻擊利用,造成了26495美元(折合人民幣約17萬)的損失;
安全團隊:BlockSec成功攔截針對FSWAP 的黑客攻擊:6月15日消息,BlockSec攻擊檢測系統在6月14日檢測到針對FSWAP的攻擊行為,并且成功阻斷2筆攻擊交易,攔截了3500 WBNB進入黑客地址。BlockSec正在同項目方聯系歸還被攻擊資金。
BlockSec已經成功阻斷了多起針對區塊鏈項目方的黑客攻擊行為,包括針對Saddle Finance、Equalizer Finance、HomeDao等項目的攻擊,攔截了超過500萬美金的數字資產進入黑客控制賬戶。[2022/6/15 4:29:33]
同天晚上9時45分,Medamon項目被閃存貸攻擊利用,造成3159美元(折合人民幣約2萬)的損失;
IoTeX首席贊助Gitcoin第十輪黑客松:據官方消息,Web3開源開發者激勵平臺 Gitcoin 將于 6 月 16 日至 7 月 7 日舉行第十輪黑客松(GR10) ,總賞金高達65萬美金。IoTeX作為本輪Gitcoin黑客松首席贊助,將提供資金和技術資源,助力Web3開發者創建開源公共產品和應用。本輪Gitcoin黑客松匹配有史以來最大賞金池,IoTeX為活動提供資金支持以外,還設置了三個共15500美金的專項賞金挑戰,鼓勵開發者通過IoTeX最新上線的Web3 Babel通天塔API工具參與挑戰,在IoTeX網絡上共同建設未來Web3開源新生態。
Gitcoin是目前最大的Web3開發者平臺,激勵支持開發Web3開源項目,扶植在未來能產生最大影響的去中心化開源項目。IoTeX作為硅谷開源項目成立于2017年,以鏈接現實世界和數字世界為愿景,是與以太坊全兼容的高性能公有區塊鏈。[2021/6/17 23:44:42]
緊接著, PI-DAO項目被閃存貸攻擊利用,造成了6445(折合人民幣約4萬)美元的損失。
Nice Hash已全額補償受2017年黑客事件影響的用戶:12月17日消息,礦機和算力租賃平臺Nice Hash已經全額補償在2017年末安全漏洞事件中所有受影響的用戶,當時損失達4640枚比特幣。NiceHash首席執行官Martin Skorjanc在周四發布的一封信中表示,“過去三年來,公司定期放棄利潤,但我們不后悔,因為這預示著我們將進入一個新的增長和發展時代。”(CoinDesk)[2020/12/17 15:35:18]
這一系列攻擊的攻擊者與攻擊方法,與同一天早些時候發生的Wiener DOGE相同。
CMC創始人:公司從未遭到過黑客攻擊:CoinMarketCap在推特舉辦首席執行官兼創始人BrandonChez的AMA,當被問及AMA格式是出于匿名還是隱私目的時,Chez表示,“我確實重視我的隱私,但我并不完全反對未來嘗試更多的AMA格式。Chez表示,“CMC在早期曾數次被DDoS攻擊,但我很高興地說,我們從未遭到過黑客攻擊。”有推特用戶提到2019年報告稱CMC顯示虛假交易量的話題。Chez表示,“我們已經發布一個新的度量標準,可以更準確地描述交易所的活動,”Chez提及的是流動性指標。至于Chez是如何進入加密領域的,他指出,2011年比特幣資產達到1美元時,他偶然發現一篇關于比特幣的文章,此后一直參與其中。[2020/2/29]
攻擊者通過閃電貸獲得了2900枚BNB。
攻擊者將2900枚BNB換成了6,638,066,501,83枚WDOGE
WdogE : 199,177,850,468
WBNB: 2978
LP的狀態:
將5,974,259,851,654枚WDOGE發送到LP,由于WDOGE比BNB多,所以LP現在處于不平衡狀態。
WDOGE : 5,178,624,112,169
WBNB : 2978
調用skim()函數,從LP中取回4,979,446,261,701枚WDOGE。由于攻擊者在調用skim()之前發送了大量的WDOGE,所以LP將支付大量的費用。這一操作清空了LP內的WDOGE的數量。
攻擊者還調用可sync()函數來更新LP內的儲備值。若干枚WDOGE和2978枚BNB的存在,造成了WDOGE的價格與WBNB相比異常昂貴。
5. 最后,攻擊者用剩下的WDOGE換回了2978枚BNB,償還了閃電貸,賺取了78枚BNB。
而其他幾個項目被攻擊的流程步驟也相似:
閃電貸取得WBNB,并用WBNB換取LP中的通縮代幣;
直接將通縮的代幣轉移到LP對上;
調用skim()函數,迫使LP對輸回通縮代幣;
由于轉讓費的存在,攻擊者會重復步驟2~3,將LP對中的通縮代幣耗盡;
通過LP對中的價格不平衡來獲取利潤。
當用戶(或LP)轉移一定數量的WDOGE時,除了費用,還有4%的代幣將被銷毀。
因此,如果LP發送100枚WDOGE,其余額將減少104枚WDOGE。
所以,LP應該被排除在費用和代幣銷毀之外。
CertiK審計專家認為:如果同時對代幣和LP合約進行審計,這個漏洞就可能被發現。然而,如果只有代幣合約被審計,那么交換機制將被視為一個外部依賴。而這種情況在審計過程中將會指出第三方依賴風險。具體為:如果是代幣合約,CertiK審計專家將會與項目方討論,確認是否需要除去LP對的手續費;如果是LP對方的合約,CertiK審計專家會提出通縮幣的討論,并且提醒項目方可能存在的風險。
作為區塊鏈安全領域的領軍者,CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止,CertiK已獲得了3200家企業客戶的認可,保護了超過3110億美元的數字資產免受損失。
新挑戰者! 說GameFi 是最新最火熱的加密趨勢之一,相信沒有人會反駁。根據 Statista 2021 年的一項研究,全球約有 30 億人玩游戲。這大約是世界人口的 40%.
1900/1/1 0:00:00自從NBA球星史蒂芬·庫里,花了大約18萬美元購買了一個穿著西裝的無聊猿NFT之后,關于明星購買NFT的新聞從此不絕于耳.
1900/1/1 0:00:00在北京“溫暖的BaoBao青年書店”,中國青年報社記者(左)對話網大公開課常務副校長劉英(右)、中文在線奇想宇宙科幻站總編輯唐風(中)、知名網文作家失落葉(視頻連線).
1900/1/1 0:00:00170年前,美國人越過邊境向西推進,在淘金熱中尋找財富。貪婪和無法無天把這片應許之地變成了狂野西部,少數人利用了多數人的夢想.
1900/1/1 0:00:00本文通過對一些當前主流 DAO 的重要人物(包括大名鼎鼎的 MirrorDAO 創建者 Rafa,PleasrDAO 運營主管 Dulanto,FWB 運營主管 Hauseman.
1900/1/1 0:00:00當年我開辦這家科技公司的初衷,就是想要打造一個叫做「魔力小鎮」的與真實世界平行的虛擬世界,of cousre失敗了.
1900/1/1 0:00:00