以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

DOGE:黑客四連擊,近期項目被攻擊事件分析

Author:

Time:1900/1/1 0:00:00

北京時間2022年4月24日下午4時33分,CertiK審計團隊監測到Wiener?DOGE項目被惡意利用,造成了3萬美元的損失。攻擊者利用WDODGE的收費機制和交換池之間的不一致,發起了攻擊。

事件發生的根本原因是:通過緊縮的代幣合約造成發送方的LP對沒有被排除在轉賬費用之外。因此,攻擊者能夠將LP對中的通貨緊縮代幣耗盡,進而導致貨幣對價格失衡。

而隨后于同一天內接連發生了另外三起惡意利用:

下午6時20分,LastKilometer項目被閃電貸攻擊利用,造成了26495美元的損失;

推特黑客使用的比特幣錢包曾與Coinbase和BitPay交互:金色財經報道,區塊鏈情報初創公司Whitestream表示,昨日推特被黑后黑客收到的資金目前正在整合至黑客的“1Ai5”比特幣地址,該地址過去曾與Coinbase和BitPay這兩家提供商業解決方案的加密貨幣公司進行過交互。目前已有14.75枚比特幣已被轉移到“1Ai5”地址,該地址過去曾與Coinbase和BitPay進行過三次交易。第一次也是最大的一次是在2020年5月,當時該地址將1.2 BTC移至了BitPay地址。其他兩次交易轉至了與Coinbase相關的地址,金額較小。發送到Coinbase的交易更難跟蹤,因為每次輸入都會改變地址。由于與這些公司交互過,黑客的身份可能能夠被曝光。安全專家警告說,此次推特賬號被黑可能涵蓋了“其他惡意活動”。例如,如果黑客竊取了推特用戶的數據,則可以在暗網上出售這些數據。[2020/7/17]

晚上9時45分,Medamon項目被閃存貸攻擊利用,造成3159美元的損失;

動態 | 黑客入侵Uphold郵件服務器進行比特幣詐騙:據dashforcenews報道,近日有黑客通過Uphold官方電子郵件帳戶,向用戶發送了感恩節黑色星期五折扣,聲稱如果用戶將比特幣發送到特定地址,他們將在原始金額上再收到15%的比特幣。 Uphold通過他們的社交媒體渠道迅速宣布,該電子郵件并非來自官方的Uphold帳戶,并且他們的郵件服務器可能已被黑客入侵。Uphold暫停了比特幣提款,并很快宣布所有系統恢復正常,并計劃推出反網絡釣魚保護措施。[2018/11/23]

緊接著,PI-DAO項目被閃存貸攻擊利用,造成了6445美元的損失。

動態 | 加拿大公司遭黑客勒索比特幣:據CBC消息,加拿大公司Recipe Unlimited遭黑客勒索,要求用比特幣支付贖金以檢索黑客聲稱被盜的數據。[2018/10/3]

這一系列攻擊的攻擊者與攻擊方法,與同一天早些時候發生的WienerDOGE相同。

攻擊步驟

①攻擊者通過閃電貸獲得了2900枚BNB。

②攻擊者將2900枚BNB換成了6,638,066,501,83枚WDOGE。

●LP的狀態:

??○WdogE:199,177,850,468

??○WBNB:2978

③將5,974,259,851,654枚WDOGE發送到LP,由于WDOGE比BNB多,所以LP現在處于不平衡狀態。

●LP的狀態:

??○?WDOGE:5,178,624,112,169

??○?WBNB:2978

④調用skim()函數,從LP中取回4,979,446,261,701枚WDOGE。由于攻擊者在調用skim()之前發送了大量的WDOGE,所以LP將支付大量的費用。這一操作清空了LP內的WDOGE的數量。

攻擊者還調用可sync()函數來更新LP內的儲備值。若干枚WDOGE和2978枚BNB的存在,造成了WDOGE的價格與WBNB相比異常昂貴。

⑤最后,攻擊者用剩下的WDOGE換回了2978枚BNB,償還了閃電貸,賺取了78枚BNB。

而其他幾個項目被攻擊的流程步驟也相似:

閃電貸取得WBNB,并用WBNB換取LP中的通縮代幣;

直接將通縮的代幣轉移到LP對上;

調用skim()函數,迫使LP對輸回通縮代幣;

由于轉讓費的存在,攻擊者會重復步驟2~3,將LP對中的通縮代幣耗盡;

通過LP對中的價格不平衡來獲取利潤。

漏洞分析

當用戶轉移一定數量的WDOGE時,除了費用,還有4%的代幣將被銷毀。

因此,如果LP發送100枚WDOGE,其余額將減少104枚WDOGE。

所以,LP應該被排除在費用和代幣銷毀之外。

寫在最后

如果同時對代幣和LP合約進行審計,這一風險因素就可以被發現。

然而,如果只有代幣合約被審計,那么交換機制將被視為一個外部依賴。

而這種情況在審計過程中將會指出第三方依賴風險。具體為:如果是代幣合約,CertiK審計專家將會與項目方討論,確認是否需要除去LP對的手續費;如果是LP對方的合約,CertiK審計專家會提出通縮幣的討論,并且提醒項目方可能存在的風險。

Tags:DOGEDOGWDOWDOGEfdoge幣什么幣DOGEALLY幣TWDO幣towdogecoin

Gate交易所
VER:比游戲更明確的場景?Mytaverse正在構建企業元宇宙

提到元宇宙,大家首先會想到的是游戲產業。因為元宇宙所創造的虛擬現實場景、沉浸式體驗和多樣化的玩法能夠給玩家足夠的自由發揮空間,其次,有了傳統游戲行業龐大的用戶群體做支持,元宇宙游戲也容易落地.

1900/1/1 0:00:00
Huobi Global to Open Trading for ELU (Legue of Elumia) at 13:00 (UTC) on April 26

DearValuedUsers,HuobiGlobalwillbeopeningELU(LegueofElumia)?spottrading(ELU/USDT)at13:00(UTC)onApr.

1900/1/1 0:00:00
OKB:比特幣、幣安幣、Gala 和 OKB 每日價格分析

關鍵要點 全球加密貨幣市場在過去24小時內有所改善,增長了3.45%。比特幣在過去一天表現良好,上漲3.49%。幣安幣也轉為看漲,在過去24小時內上漲了2.43%.

1900/1/1 0:00:00
OIN:OVR (OVR) Gets Listed on KuCoin!

DearKuCoinUsers,KuCoinisextremelyproudtoannounceyetanothergreatprojectcomingtoourtradingplatform.

1900/1/1 0:00:00
CIR:多元化CIRCLE生態,2022逆襲Web3樂高世界

導語:生態建設已經被越來越多的加密平臺提上日程,并且成為市場競爭的戰略核心,狹義的生態建設包括完善平臺APP、擴大礦池、提高粘度,而CIRCLE廣義的生態建設統籌了加密各部熱點的聯系.

1900/1/1 0:00:00
BOB:ZT創新板即將上線BEND

親愛的ZT用戶: ZT創新板即將上線BEND,並開啟BEND/USDT交易對。具體上線時間如下:充值:已開啟;交易:2022年4月25日20:00; BEND 項目簡介:BendDAO是第壹個基.

1900/1/1 0:00:00
ads