據CertiK安全團隊監測,,WienerDOGE項目于北京時間2022年4月24日下午4時33分被惡意利用,造成了3萬美元的損失。攻擊者利用WDODGE的收費機制和交換池之間的不一致,發起了攻擊。
事件發生的根本原因是:通過緊縮的代幣合約造成發送方的LP對沒有被排除在轉賬費用之外。因此,攻擊者能夠將LP對中的通貨緊縮代幣耗盡,進而導致貨幣對價格失衡。
而隨后于同一天接連發生了另外三起惡意利用:
同天下午6時20分,LastKilometer項目被閃電貸攻擊利用,造成了26495美元的損失;
黑客組織Anonymous稱將調查Do Kwon罪行:6月27日消息,黑客活動組織“匿名者”(Anonymous)在 YouTube上警告稱,就今年5月Terra (LUNA)和Terra (UST)生態系統崩潰一事,其將“確保”Terra聯合創始人Do Kwon“盡快被繩之以法”。 該黑客組織承諾,將調查Do Kwon進入加密貨幣領域以來的罪行。Anonymous對Do Kwon警告稱:“毫無疑問,在你的毀滅之路上,還有更多的罪行有待發現。”(Cointelegraph)[2022/6/27 1:33:28]
同天晚上9時45分,Medamon項目被閃存貸攻擊利用,造成3159美元的損失;
ProEx安全總監:Lendf.Me平臺被黑客攻擊事件為整個行業敲響警鐘:就去中心化金融(DeFi)交易平臺dForce借貸協議Lendf.Me遭黑客盜取2,500萬美元事件,ProEx安全總監表示,近一年來,DeFi領域已發生多起事故。Lendf.Me發生的這起事故不是第一起,也不會是最后一起。此事為整個行業敲響警鐘,迫使各個項目開始審查安全漏洞。據悉,dForce事后在各方團隊配合下,在不到24h內已返還90%的資產,然而,雖然Lendf.Me合約狀態已在持續攻擊下遭到破壞。[2020/4/28]
緊接著,PI-DAO項目被閃存貸攻擊利用,造成了6445美元的損失。
ConsenSys Health贊助“抗擊COVID-19黑客松” 旨在利用區塊鏈等技術抗擊疫情:4月6日消息,ConsenSys子公司ConsenSys Health宣布從4月13日開始共同贊助“抗擊COVID-19黑客松”。該計劃旨在利用區塊鏈和其他新興技術來改善試圖更好地理解和阻止COVID-19的研究人員、醫療保健專家和生命科學專業人士的數據訪問和準確性,并防止未來的病大流行。”全球競賽對開發優先考慮隱私和安全性的Web 3.0公共衛生解決方案的參與者給予獎勵。(Decrypt)[2020/4/7]
這一系列攻擊的攻擊者與攻擊方法,與同一天早些時候發生的WienerDOGE相同。
動態 | 隨著ETH價格走低 黑客攻擊較上月增加了2倍:據ZDNet消息,自12月3日以來,黑客已持續一周通過掃描端口8545,攻擊暴露在網上Ethereum錢包和采礦設備,轉移用戶Ethereum賬戶資金。與此同時,Bad Packets LLC的聯合創始人Troy Mursc提供的數據顯示,與上月相比,隨著本月以太坊價格走低,黑客掃描活動增加了2倍。[2018/12/11]
WienerDOGE攻擊流程
攻擊者通過閃電貸獲得了2900枚BNB。
攻擊者將2900枚BNB換成了6,638,066,501,83枚WDOGE
WdogE:199,177,850,468
WBNB:2978
LP的狀態:
將5,974,259,851,654枚WDOGE發送到LP,由于WDOGE比BNB多,所以LP現在處于不平衡狀態。
WDOGE:5,178,624,112,169
WBNB:2978
LP的狀態:
調用skim()函數,從LP中取回4,979,446,261,701枚WDOGE。由于攻擊者在調用skim()之前發送了大量的WDOGE,所以LP將支付大量的費用。這一操作清空了LP內的WDOGE的數量。
攻擊者還調用可sync()函數來更新LP內的儲備值。若干枚WDOGE和2978枚BNB的存在,造成了WDOGE的價格與WBNB相比異常昂貴。
5.最后,攻擊者用剩下的WDOGE換回了2978枚BNB,償還了閃電貸,賺取了78枚BNB。
而其他幾個項目被攻擊的流程步驟也相似:
閃電貸取得WBNB,并用WBNB換取LP中的通縮代幣;
直接將通縮的代幣轉移到LP對上;
調用skim()函數,迫使LP對輸回通縮代幣;
由于轉讓費的存在,攻擊者會重復步驟2~3,將LP對中的通縮代幣耗盡;
通過LP對中的價格不平衡來獲取利潤。
合約漏洞分析
當用戶轉移一定數量的WDOGE時,除了費用,還有4%的代幣將被銷毀。
因此,如果LP發送100枚WDOGE,其余額將減少104枚WDOGE。
所以,LP應該被排除在費用和代幣銷毀之外。
資產損失
審計的作用
CertiK審計專家認為:如果同時對代幣和LP合約進行審計,這個漏洞就可能被發現。然而,如果只有代幣合約被審計,那么交換機制將被視為一個外部依賴。而這種情況在審計過程中將會指出第三方依賴風險。具體為:如果是代幣合約,CertiK審計專家將會與項目方討論,確認是否需要除去LP對的手續費;如果是LP對方的合約,CertiK審計專家會提出通縮幣的討論,并且提醒項目方可能存在的風險。
作為區塊鏈安全領域的領軍者,CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止,CertiK已獲得了3200家企業客戶的認可,保護了超過3110億美元的數字資產免受損失。
北京時間5月10日凌晨,Azuki創始人?ZAGABOND.ETH發布了一篇題為《建設者之旅》的親筆文章,介紹了自己在NFT領域的職業履歷及心路變化.
1900/1/1 0:00:004月28日消息,NFT工具提供商Venly宣布完成2300萬A輪融資,本輪融資由CourtsideVentures領投.
1900/1/1 0:00:00十年內DAO的投資規模將達到2萬億美元。 TributeLabs的CEOAaronWright和COOPriyankaDesai在布魯克林的威廉斯堡,背景彩繪是一個流行的NFT.
1900/1/1 0:00:00報告前言 開門見山,我們團隊在NFT法律服務行業一直處于龍頭地位,服務頭部客戶,積累了豐富的實戰經驗,為反哺行業,避免數字藏品步網貸等曇花一現行業的后塵,特撰寫40000字+法律風險研究報告.
1900/1/1 0:00:00作者通過親身參與DAO和合作社的經驗,比較了兩者之間的異同,總結了兩者之間可以相互學習的部分,比如一人一票VS一代幣一票,資金的獲得與使用的難易與優劣,組織的創建動力和愿景.
1900/1/1 0:00:00盡管Web3.0蘊含著更豐富的語義,但從行業角度看, Web3.0指的是 一.?網絡運維將以更加去中心化的方式進行。二.?用戶數字身份,資產和數據歸個人所有。三.中心化組織架構的解構和重建.
1900/1/1 0:00:00