2022年9月8日,CertiKSkynet天網監測到NewFreeDAO(NFD)項目遭遇了閃電貸攻擊。
漏洞在NFD項目部署的一個未經驗證的獎勵合約中,攻擊者利用閃電貸借入NFD代幣,并將其發送到攻擊合約。隨后攻擊合約則調用未經驗證的獎勵合約,向攻擊者發送更多的NFD代幣。
攻擊者在3次攻擊中重復這個過程,獲取了4481個WBNB,價值約125萬美元。
由于攻擊者大量拋售NFD代幣,該代幣的價格已經暴跌超過99%。
攻擊步驟
Fluree完成1000萬美元A輪融資,SineWave Ventures領投:4月20日消息,Web3數據管理工具開發公司Fluree宣布完成1000萬美元A輪融資,SineWave Ventures領投,截至目前該公司的融資總金額已超過1600萬美元。
據悉,Fluree主要提供區塊鏈支持的語義圖形數據庫,幫助企業管理數據資產,通過結合許可區塊鏈技術、語義Web標準和數據安全策略控制,讓開發人員以去中心化和可信的格式存儲和管理數據。 (venturebeat)[2023/4/20 14:15:15]
①攻擊者部署了一個惡意合約。在同一筆交易中,它調用了以下函數,將自己添加為合約成員。
去中心化生態平臺Newland已開啟第二輪Kusama插槽競拍通道:據官方消息,Kusama插槽競拍將于9月1日晚20:00啟動,目前去中心化生態平臺Newland已正式開啟第二輪Kusama插槽競拍通道,可幫助用戶大大簡化參與Kusama插槽拍賣的操作流程,已上線的眾貸項目包括Altair、PolkaSmith、Genshiro、SherpaX、Robonomics、Crust Shadow等,用戶可通過Newland平臺一鍵參與Kusama插槽競拍。
Newland是集多個公鏈為一體的去中心化生態平臺,支持一站式DeFi借貸、Staking、聚合挖礦、多元生態等服務。[2021/9/1 22:52:06]
②攻擊者執行了三次閃電貸攻擊,借助第一筆閃電貸款,借入250個WBNB,并將其交易為6,313,508個NFD代幣。
動態 | 英國能源公司4NEW與比特幣挖礦解決方案提供商簽署合約:據Bitcoinist報道,英國的能源企業4New公司與Evolution Global AS達成合作,后者是一家創新比特幣采礦解決方案提供商,4NEW將使用Evolution Global的芯片進行比特幣挖礦。與其他采礦設備供應商相比,Evolution Global采礦設備預計節能75%,這將使得比特幣采礦成本大大降低。[2019/3/11]
③這些代幣被發送到一些未經驗證的合約中。
④這調用了0xe2f9d09c,輸入NFD代幣地址0x0000000000000000000038c63a5d3f206314107a7a9fe8cbba29d629d4f9。
前美國商品期貨交易委員會主席Jim Newsome:加密貨幣泡沫暫時不會崩潰: 前美國商品期貨交易委員會主席Jim Newsome:加密貨幣泡沫暫時不會崩潰,因為目前沒有出臺具體的監管政策,機構投資者不會參與加密貨幣市場。這樣就會限制大筆資金進入市場,從而阻止了泡沫崩盤。[2018/3/10]
⑤這觸發了NFD項目部署的另一個未經驗證的獎勵合約0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e.0x6811e3b9()。
之后,未驗證的合約實際上從獎勵合約中收到了額外的525,283個NFD代幣——總計6,838,792個NFD代幣,這些代幣被發回給了攻擊合約。
⑥在上述交易中,NFD合約錯誤地釋放了額外的525,283NFD。因此當攻擊者完成攻擊時,獲取了總計343,323,371個NFD代幣,在償還了最初的250WBNB貸款后,獲利4481WBNB,總價值約125萬美元。
⑦最后攻擊者通過兩筆交易,將2,000WBNB換為556,556.72USDT。目前攻擊者錢包仍持有2,481WBNB。
漏洞分析
本次攻擊事件的漏洞位于NFD項目部署的一個未經驗證的獎勵合約。由于NFD合約的源代碼在BSCScan上未被驗證,因此還無法確定攻擊者用來利用合約的確切機制。
資金去向
攻擊者總共獲得了4481個WBNB,并將其中的2000個換成了55.7萬枚USDT,剩下的WBNB仍然在攻擊者的賬戶中。
將2000WBNB交易為USDT的兩筆交易:
https://bscscan.com/tx/0x8c035fc9c3d944b3dd4a0ea721c119240cb624e79b7625a16173ad6682410599
https://bscscan.com/tx/0xda4b4de6ecacfe9b8b60167a2010630aeec103ab51920eb2e1b94ba1fef6c95b
相關地址
攻擊者賬戶:
https://bscscan.com/address/0x22c9736d4fc73a8fa0eb436d2ce919f5849d6fd2
攻擊合約:
https://bscscan.com/address/0xa35ef9fa2f5e0527cb9fbb6f9d3a24cfed948863
未經驗證的獎勵合約:
https://bscscan.com/address/0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e
WBNB-USDT對:
https://bscscan.com/address/0x16b9a82891338f9ba80e2d6970fdda79d1eb0dae
USDT-NFD對:
https://bscscan.com/address/0x26c0623847637095655b2868c3182b2285bdaeaf
寫在最后
攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會持續于官方公眾號發布與項目預警相關的信息。
CertiK的端到端安全解決方案,從智能合約審計和KYC項目背景調查服務,到Skynet天網動態掃描系統和SkyTrace等區塊鏈分析工具,以及漏洞賞金計劃,助力每一個項目充分發揮潛力的同時為Web3.0打造用戶和投資者高參與的生態系統。
9月1日,CryptoRank發布榜單對各區塊鏈網絡8月的TVL表現進行了盤點。榜單數據顯示,波場TRONTVL為127億美元,僅次于以太坊,8月漲幅高達10.9%.
1900/1/1 0:00:00區塊鏈瀏覽器TRONSCAN最新數據顯示,截至11月7日,波場TRON賬戶總數達到119,349,457,正式突破1.19億.
1900/1/1 0:00:00精明的資金管理是加密貨幣生存的秘訣。最經久不衰的公司——那些經歷過多個市場周期的公司——都有一個共同的特點:他們謹慎地管理自己的資金,在牛市的狂熱中結束融資輪次并出售資產,然后在冬天到來之前將法.
1900/1/1 0:00:0010月10日晚,NorthBetaInternational北拓國際主辦的「Web3.0NewEra」主題活動以線上線下結合的形式在新加坡成功舉辦.
1900/1/1 0:00:00JustSwap居波場TRON DApp榜單第一,24小時交易額增長91.67%:據Dapp.com最新數據顯示,JustSwap榮登波場TRON DApp榜單第一名.
1900/1/1 0:00:00去中心化超抵押穩定幣USDD已獲9個區塊鏈支持,包括波場網絡、以太坊網絡、幣安鏈、BitTorrentChain、雪崩網絡、Fantom網絡、Polygon網絡、Arbitrum網絡和Auror.
1900/1/1 0:00:00