前言
北京時間2022年4月30日,知道創宇區塊鏈安全實驗室監測到BSC鏈上的bDollar項目遭到價格操縱攻擊,導致損失約73萬美元。
知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。
基礎信息
攻擊者地址:0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e
攻擊合約:0x6877f0d7815b0389396454c58b2118acd0abb79a
TrueUSD:已開啟TUSD國際過渡最后階段,Techteryx將全面管理TUSD相關所有離岸業務:7月14日消息,美元穩定幣TrueUSD宣布自2023年7月13日起開啟TUSD國際過渡的最后階段,Techteryx將全面管理與TUSD相關的所有離岸業務和服務,包括鑄幣和贖回、客戶導入與合規性,以及所有銀行和信托關系的法定儲備和監督。在過渡期間,Archblock團隊將繼續為現有美國用戶提供支持。[2023/7/14 10:55:14]
tx:0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4
由于Memecoin和ETH交易費用飆升導致NFT銷售額在5月份暴跌:金色財經報道,由于最近的memecoin和ETH的Gasfee價格飆升,本月NFT的銷量暴跌。根據DappRadar的數據,本月迄今為止NFT交易量僅達到3.33億美元,這使得5月有望成為2023年交易量低于10億美元的第一個月。然而,與4月份相比,5月份與NFT交互的每日唯一活躍錢包的平均數量增加了27%,DappRadar將這一增長歸因于圍繞“Milady Maker”NFT系列的熱銷。[2023/5/22 15:17:20]
CommunityFund合約:0xEca7fC4c554086198dEEbCaff6C90D368dC327e0
Celo區塊鏈停止出塊,官方稱正識別和解決問題:7月14日消息,Celo官方于今日8時左右發推文稱:“Celo網絡在14035019處(Celo官方筆誤為“1403519”)停止出塊。驗證人員正在努力識別和解決問題。所有資金都是安全的。將盡快提供更新。”[2022/7/14 2:12:06]
漏洞分析
漏洞關鍵在于CommunityFund合約中的claimAndReinvestFromPancakePool方法在使用Cake代幣進行代幣轉換時,會對換取的WBNB數量進行判斷并且會自動把換取的WBNB的一半換為BDO代幣;而之后合約會自動使用合約中的WBNB為池子添加流動性,若此時BDO代幣的價值被惡意抬高,這將導致項目方使用更多的WBNB來為池子添加流動性。
CremaFinance公布漏洞事件補償方案,幾周后將重新上線完整協議:金色財經報道,Solana生態流動性服務協議Crema Finance發布漏洞事件補償公告稱,Crema剛剛經歷了艱難的一周。幸運的是,我們幾乎可以解決問題。我們已經追回了絕大部分被盜資金,并且正在逐步恢復原有的資產組合。
Crema將在下周晚些時候開啟資產提取合約,該合約將由SlowMist進行審計;Crema也將從團隊Token分配中拿出1.5%(1500萬枚CRM),以補償在該事件中損失資金的所有用戶;對于受到攻擊的流動性池,流動性提供者在撤回資產時將獲得veNFT;為確保CRM的充足流動性,Crema每月將使用協議交易費用的 7.5%回購CRM并銷毀,回購計劃將從全面重啟Crema開始。
Crema同時表示,幾周后,Crema的完整協議將再次上線。資產安全將是Crema未來發展的重中之重。[2022/7/9 2:02:03]
而最為關鍵的是,攻擊者實施攻擊前,在WBNB/BDO、Cake/BDO、BUSD/BDO池子中換取了大量BDO代幣導致BDO價格被抬高。
在我們對攻擊交易進行多次分析之后,發現事情并沒有那么簡單,該次攻擊極有可能是被搶跑機器人搶跑交易了,依據如下:
1、該筆攻擊交易比BSC鏈上普通交易Gas費高很多,BSC鏈上普通交易默認Gas費為5Gwei,而該筆交易竟高達2000Gwei。
2、我們發現該攻擊合約與攻擊者地址存在多筆搶跑交;
3、我們在相同區塊內找尋到了真實攻擊者的地址與交易,該交易被回滾了。
攻擊流程
1、攻擊者使用閃電貸貸款670枚WBNB;
2、之后攻擊者將WBNB在各個池子中換取大量BDO代幣;
3、隨后攻擊者再次使用閃電貸貸款30516枚Cake代幣;
4、將貸款的Cake代幣進行swap,換取400WBNB,其中200枚被協議自動換取為BDO代幣;
5、攻擊者將WBNB換取Cake代幣用于歸還閃電貸;
6、最后,攻擊者將升值后的3,228,234枚BDO代幣換取3020枚WBNB,還款閃電貸671枚,成功套利2381枚WBNB價值約73萬美元。
總結
本次攻擊事件核心是合約會為流動性池自動補充流動性,而未考慮代幣價格是否失衡的情況,從而導致項目方可能在價格高位對流動性進行補充,出現高價接盤的情況。
建議項目方在編寫項目時多加注意函數的邏輯實現,對可能遇到的多種攻擊情況進行考慮。
在此提醒項目方發布項目后一定要將私鑰嚴密保管,謹防網絡釣魚,另外,近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
TetherCTO:Terra生態系統設置是其崩盤的主要催化劑6月8日消息,Tether首席技術官PaoloArdoino認為Terra生態系統設置為其崩盤背后的主要催化劑.
1900/1/1 0:00:00據最新消息,波場TRON被加密碳評級研究所認定為“最環保的區塊鏈之一”。與此同時,CCRI還發布了《波場TRON能源效率和碳足跡報告》,報告顯示,波場TRON的能耗比比特幣和以太坊低99.9%.
1900/1/1 0:00:00據官方消息,JustLend上USDD市場的存款挖礦獎勵現已正式升級為USDD。 數據:2億枚USDT從JustLend轉入孫宇晨錢包:8月8日消息,Cinneamhain Ventures合伙.
1900/1/1 0:00:005月23日,據區塊鏈瀏覽器TRONSCAN數據,波場TRON賬戶總數達到94,159,408,正式突破9400萬。波場TRON各項數據穩中前進,波場生態逐漸強大的同時,也將迎來更多交易量.
1900/1/1 0:00:00據最新消息,USDD-FRAXBP礦池已正式登陸Curve。 8370萬枚USDC從USDC Treasury轉移到Crypto.com:金色財經報道,據WhaleAlert監測,83,700,
1900/1/1 0:00:00“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.
1900/1/1 0:00:00