慢霧：DOD 合約中的 BUSD 代幣被非預期取出，因 DOD 低價情況下與合約中鎖定的 BUSD 將產生套利空間_USD

鏈捕手消息，2022年3月10日,BSC鏈上的DOD項目中鎖定的BUSD代幣被非預期的取出，慢霧安全團隊進行分析如下：

1.DOD項目使用了一種特定的鎖倉機制，當DOD合約中BUSD數量大于99,999,000或DOD銷毀數量超過99,999,000,000,000或DOD總供應量低于1,000,000,000時將觸發DOD合約解鎖，若不滿足以上條件，DOD合約也將在五年后自動解鎖。DOD合約解鎖后的情況下，用戶向DOD合約中轉入指定數量的DOD代幣后將獲取該數量1/10的BUSD代幣，即轉入的DOD代幣數量越多獲得的BUSD也越多。

慢霧：共享Apple ID導致資產被盜核心問題是應用沒有和設備碼綁定:5月19日消息，慢霧首席信息安全官23pds發推表示，針對共享Apple ID導致資產被盜現象，核心問題是應用沒有和設備碼綁定，目前99%的錢包、交易App等都都存在此類問題，沒有綁定就導致數據被拖走或被惡意同步到其他設備導致被運行，攻擊者在配合其他手法如社工、爆破等獲取的密碼，導致資產被盜。23pds提醒用戶不要使用共享Apple ID等，同時小心相冊截圖被上傳出現資產損失。[2023/5/19 15:13:08]

2.但由于DOD代幣價格較低，惡意用戶使用了2.8個BNB即兌換出99,990,000個DOD。

慢霧：V神相關地址近日于Uniswap賣出3000枚以太坊:11月14日消息，據慢霧監測顯示，以太坊創始人Vitalik Buterin地址（0xe692開頭）近日在Uniswap V3上分三筆將3000枚以太坊（約400萬美元）兌換成了USDC。[2022/11/14 13:03:22]

3.隨后從各個池子中閃電貸借出大量的BUSD轉入DOD合約中，以滿足合約中BUSD數量大于99,999,000的解鎖條件。

慢霧：PancakeBunny被黑是一次典型利用閃電貸操作價格的攻擊:幣安智能鏈上DeFi收益聚合器PancakeBunny項目遭遇閃電貸攻擊，慢霧安全團隊解析：這是一次典型的利用閃電貸操作價格的攻擊，其關鍵點在于WBNB-BUNNYLP的價格計算存在缺陷，而BunnyMinterV2合約鑄造的BUNNY數量依賴于此存在缺陷的LP價格計算方式，最終導致攻擊者利用閃電貸操控了WBNB-BUNNY池子從而拉高了LP的價格，使得BunnyMinterV2合約鑄造了大量的BUNNY代幣給攻擊者。慢霧安全團隊建議，在涉及到此類LP價格計算時可以使用可信的延時喂價預言機進行計算或者參考此前AlphaFinance團隊。[2021/5/20 22:24:55]

4.之后只需要調用DOD合約中的swap函數，將持有的DOD代幣轉入DOD合約中，既可取出1/10轉入數量的BUSD代幣。

5.因此DOD合約中的BUSD代幣被非預期的取出。

本次DOD合約中的BUSD代幣被非預期取出的主要原因在于項目方并未考慮到DOD低價情況下與合約中鎖定的BUSD將產生套利空間。慢霧安全團隊建議在進行經濟模型設計時應充分考慮各方面因素帶來的影響。

Tags：DODUSDBUSDBUNDODB價格OUSD價格BUSDXBUNNYINU

狗狗幣