以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

SAFE:SafeDollar 歸零 Polygon生態的“潘多拉魔盒”已打開?

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間6月28日,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,Polygon生態算法穩定幣項目SafeDollar遭到黑客攻擊。攻擊事件發生后,SafeDollar項目所發行的穩定幣價格從1.07美元,瞬間跌至歸零。

有消息指出,一份未經證實的合約抽走了25萬美元的USDC和USDT;后經Rugdoc.io分析證實,此次攻擊事件中黑客總共獲利價值25萬美元的USDC和USDT。隨后,SafeDollar項目方發布公告,要求投資者停止所有與SDO相關的交易。目前,SDO交易已暫時中止。

鑒于此次攻擊事件所具備的標志意義,成都鏈安·安全團隊第一時間介入分析。繼5月初BSC諸多鏈上項目頻頻被黑之后,6月末Polygon生態也開始被黑客盯上,“潘多拉魔盒”是否已經悄然開啟?借此事件,成都鏈安通過梳理攻擊流程和攻擊手法,提醒Polygon生態項目加強安全預警和防范工作。

去中心化托管協議Safe集成P2P.org的以太坊質押服務:6月14日消息,去中心化托管協議Safe集成P2P.org的以太坊質押服務。P2P.org首席執行官AlexEsin在周三的公告中表示,通過P2P的應用程序,Safe用戶現在可以直接質押他們的ETH,根據公告,只需點擊幾下,同時保持對他們所質押ETH的全部所有權,通過該應用程序決定質押32枚ETH的用戶也將獲得由P2P保證的罰沒保護。[2023/6/14 21:36:54]

二、事件分析

此次攻擊事件中,攻擊者利用PLX代幣轉賬時實際到賬數量小于發送數量以及SdoRewardPool合約抵押和計算獎勵上存在的邏輯缺陷,借助“閃電貸”控制SdoRewardPool合約中抵押池的抵押代幣數量,進而操縱獎勵計算,從而獲得巨額的SDO獎勵代幣,最后使用SDO代幣將SDO-USDC和SDO-USDT兩種兌換池中USDC和USDT全部兌換出來。

CZ:Binance SAFU保險基金大致分為BTC、BUSD和BNB:金色財經報道,CZ在社交平臺回應SAFU保險基金構成問題時表示,Binance SAFU保險基金(10億美元等值金額)大致分為BTC、BUSD和BNB。而自上次再平衡之后,BNB價格的上漲速度快于BTC。

此外,10億美元行業復蘇基金將全部為BUSD。SAFU保險基金和行業復蘇基金的持倉均在區塊鏈上完全公開。

此前報道,11月24日,CZ在接受彭博社直播采訪中表示,Binance將設立一個約10億美元規模的基金,用于購買加密領域不良資產。[2022/11/25 20:44:51]

攻擊者地址:

0xFeDC2487Ed4BB740A268c565daCdD39C17Be7eBd

攻擊合約:

慢霧MistTrack:SafeDollar被盜25萬美元已轉入Tornado Cash,與PancakeBunny洗幣手法相似:據慢霧MistTrack監測,6月28日攻擊SafeDollar的黑客地址(0xFeDC24...Be7eBd)已將價值約25萬美元的USDT和USDC從Polygon跨鏈到ETH,接著先通過ParaSwap將資金兌換為DAI,后通過Uniswap將DAI兌換為近100 ETH,最終轉入Tornado Cash。該洗幣手法與此前PancakeBunny事件相似:PancakeBunny總共被黑損失約4600萬美金,攻擊者分批將約1600萬美金的DAI兌換成ETH,然后轉入Tornado Cash。[2021/6/28 0:12:09]

0xC44e71deBf89D414a262edadc44797eBA093c6B0

BHEX即將上線SAFEMOON、PIG交易:據官方公告,BHEX將于今日14:00(UTC+8)上線SAFEMOON(SafeMoon)、PIG(Pig Finance),并開通SAFEMOON/USDT、PIG/USDT交易對,充值現已開啟。

SafeMoon協議是100%社區驅動的,基于公平推出的DeFi代幣。每個交易過程中會發生三個簡單的功能:反射,LP采集和刻錄。并且RFI靜態獎勵,會讓持有者自己的SafeMoon余額增過程中,進一步通過靜態反射獲得部分被動獎勵。

PIG是Binance Smart Chain上的去中心化通縮通證。而且100%去中心化;自動收益率養殖,沒有復雜的資產配對流動性和不固定損失的風險。PIG是一種高收益的無摩擦農業代幣,是一個完全由社區管理的令牌,具有獨特的獎勵和通貨緊縮機制,并具有流動性交易挖掘功能。

風險提示:以上幣種價格可能劇烈波動,注意控制交易風險。[2021/5/12 21:52:46]

0x358483BAB9A813e3aB840ed8e0a167E20f54E9FB

動態 | 比特幣創業公司Lolli與Safeway達成合作:據ethereumworldnews報道,比特幣獎勵購物應用程序Lolli與北美知名連鎖店Albertsons以及Safeway達成合作,合作細節尚未完全公布。Safeway擁有900家商店; Albertsons有大約2300家商店。[2019/7/26]

攻擊交易:

0xd78ff27f33576ff7ece3a58943f3e74caaa9321bcc3238e4cf014eca2e89ce3f

0x4dda5f3338457dfb6648e8b959e70ca1513e434299eebfebeb9dc862db3722f3

0x1360315a16aec1c7403d369bd139f0fd55a99578d117cb5637b234a0a0ee5c14

以下分析基于以下兩筆交易:

0xd78ff27f33576ff7ece3a58943f3e74caaa9321bcc3238e4cf014eca2e89ce3f

0x1360315a16aec1c7403d369bd139f0fd55a99578d117cb5637b234a0a0ee5c14

攻擊者首先使用PolyDex的WMATIC和WETH池進行PLX借貸,如下圖所示:

接下來,攻擊者通過攻擊合約反復進行抵押提取,主要是為了減少SdoRewardPool合約中SDO抵押池中的抵押代幣數量。

PLX代幣合約進行代幣轉移時,如果from地址不在_isExcludedFromFee列表中,并且to地址也不在_isExcludedToFee列表中,會對轉移的代幣收取一次獎勵基金以及銷毀本次轉移代幣數量的0.05%。

而在SdoRewardPool合約中,記錄的數量為調用者所轉移的數量,沒有減去轉移過程中損耗的部分,在進行提取操作時,提取的數量為記錄的數量,超出了用戶實際抵押到本合約的數量,故會造成該抵押池中抵押代幣的異常減少。

攻擊者事先通過攻擊合約

在該抵押池中抵押214.235502909238707603PLX,在攻擊合約

攻擊完成后,控制攻擊合約

在該抵押池中進行獎勵領取,由于SdoRewardPool合約中更新抵押池信息時使用的是balanceOf函數獲取本合約中抵押代幣數量,故獲取到的數量是惡意減少之后的數量,繼而造成PLX抵押池中accSdoPerShare變量異常增大,從而獲取到巨額的SDO代幣獎勵。

最后利用獲取到的SDO代幣將SDO-USDC和SDO-USDT兩種兌換池中USDC和USDT全部兌換出來。

三、事件復盤

事實上,此次攻擊事件并不復雜,但是值得引起注意。首先添加抵押池時添加了非標準代幣,再加上計算獎勵時使用了balanceOf函數進行抵押代幣數量的獲取,所以導致了此次攻擊事件的發生。

從安全審計的角度看,項目方作為添加抵押池的管理員,對于將要添加的抵押池中的抵押貸幣,一定要三思而后行。通脹通縮類以及轉移數量與實際到賬數量不同的代幣,不建議作為抵押池的抵押代幣;如果因業務需要一定要添加這些類型的代幣作為獎勵代幣,務必與其他標準代幣分開處理。同時在抵押池中建議使用一個單獨的變量作為抵押數量的記錄,然后計算獎勵時,使用通過此變量來獲取抵押代幣數量,而不是使用balanceOf函數。

另外,此次攻擊事件對于Polygon生態鏈上項目而言,是否會是一個“危險信號”,Polygon生態的“潘多拉魔盒”是否會就此打開,這還需要觀望后續態勢發展。不過,回望5月,BSC生態發生第一起閃電貸攻擊之后,便就此拉開了“BSC黑色五月”序幕。鑒于前車之鑒,成都鏈安在此提醒,Polygon生態鏈上項目未雨綢繆,切實提高安全意識!

Tags:USDSDOSAFEANCbtc價格今日行情usdtUSDOAllSafe2Vacay Finance

火必下載
OIN:金色觀察 | 從高收益USDC儲蓄服務到進入國際市場 Coinbase動作頻頻

近日,Coinbase宣布推出一款新產品,稱其回報率遠高于美國典型的儲蓄賬戶。Coinbase在周二的一篇博客文章中表示,其用戶可以通過出借其持有的與美元掛鉤的穩定幣USDCoin(USDC)獲.

1900/1/1 0:00:00
DAP:近一個半月3次天量借幣做空 巨鯨賺錢了嗎?

近一個半月3次天量借幣做空,巨鯨賺錢了嗎?幾天前,有巨鯨在Bitfinex上借了超2.5萬枚比特幣。當時正值市場恐慌,2.5萬枚比特幣的動靜備受關注.

1900/1/1 0:00:00
WELL:我勸我媽不要炒幣

安全團隊:Defrost Finance被攻擊事件簡析:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示.

1900/1/1 0:00:00
比特幣:BTC暴跌后加密社區表情包大賞:我們去送外賣、麥當勞打工

北京時間6月22日晚間,比特幣跌破3萬美元,創下近五個月以來新低。肉體的傷痛可以通過醫學治療緩解、經歷的痛苦可以通過冥想來減輕,而對于幣圈人來說,他們選擇擁抱meme,用表情包苦中作樂.

1900/1/1 0:00:00
SWAP:SwapAll 攜手LOWB 共同探討幣圈生存法則

在北京時間2021年6月24日晚9點,SwapAll韭菜姐攜手LOWB創始人為大家帶來了一場探討幣圈生存法則的直播,內容回顧如下.

1900/1/1 0:00:00
BTC:NFT的核“裂變”到“聚變”

2021年北京時間3月11日,在世界著名藝術品拍賣行——佳士得拍賣行上,數字藝術家Beeple的NFT藝術作品《每一天:最初的5000天》,拿下了高達6934萬美元的成交價.

1900/1/1 0:00:00
ads