黑客四連擊，近期項目被攻擊事件分析-ODAILY_DOG

北京時間2022年4月24日下午4時33分，CertiK審計團隊監測到WienerDOGE項目被惡意利用，造成了3萬美元的損失。攻擊者利用WDODGE的收費機制和交換池之間的不一致，發起了攻擊。

事件發生的根本原因是：通過緊縮的代幣合約造成發送方的LP對沒有被排除在轉賬費用之外。因此，攻擊者能夠將LP對中的通貨緊縮代幣耗盡，進而導致貨幣對價格失衡。

而隨后于同一天內接連發生了另外三起惡意利用：

黑客攜4億推特用戶數據勒索馬斯克:金色財經報道，據快科技消息，一名黑客在暗網上要價20萬美元（約139.4萬元人民幣），出售在2021年利用漏洞（現已修復）搜刮的4億推特用戶數據。

?黑客在帖子中表示，他們利用該漏洞成功收集了超過4億條推特用戶的數據。而且黑客在帖子還囂張表示，埃隆·馬斯克如果想要避免歐洲GDPR法規下的巨額罰款，那么應該購買這些數據。?[2022/12/27 22:10:23]

下午6時20分，LastKilometer項目被閃電貸攻擊利用，造成了26495美元的損失；

晚上9時45分，Medamon項目被閃存貸攻擊利用，造成3159美元的損失；

加密貨幣追蹤公司：推特黑客事件中積累的被盜比特幣正在移動:據加密貨幣追蹤公司Chainalysis稱，在周三的巨大推特黑客事件中積累的被盜比特幣已經“在移動”。Chainalysis正在監視與攻擊相關的四個錢包。最普遍的地址從375筆交易中獲得了12萬美元的比特幣。輔助地址從100筆交易中獲得了6,700美元的比特幣。一個XRP錢包什么也沒得到。到目前為止，一個尚無關聯的錢包總共收到了5枚比特幣（46055美元）。Chainalysis發言人Maddie Kennedy說：“我們正在與客戶合作，從這個錢包中尋找線索。”一個向騙子發送了4萬美元比特幣的日本錢包似乎是這次事件的最大受害者。此外，目前尚未有BTC兌現到法定貨幣。（Coindesk）[2020/7/16]

緊接著，PI-DAO項目被閃存貸攻擊利用，造成了6445美元的損失。

聲音 | HackerOne：截止12月中旬 區塊鏈公司共向黑客支付了近88萬美元的bug賞金:據The next web消息，雖然加密貨幣的鐵桿粉絲們經常吹捧區塊鏈的安全性，但這種技術并不完美，而且代碼中經常有大量漏洞。事實上，僅在2018年區塊鏈公司就收到了至少3000份漏洞報告。根據違約信息披露平臺HackerOne的數據，截止12月中旬，區塊鏈公司今年共向黑客支付了878,504美元的bug獎金，而截止8月份時發放的bug賞金總額為60萬美元。[2018/12/30]

這一系列攻擊的攻擊者與攻擊方法，與同一天早些時候發生的WienerDOGE相同。

公告 | MyEtherWallet發布黑客攻擊警告，提醒部分用戶轉移代幣:據techcrunch報道，作為網絡上最受歡迎的以太坊錢包，MyEtherWallet（MEW）的部分用戶近日遭到黑客攻擊，這已經是進入今年以來的第二次。

該公司警告說，使用Hola(一種接入瀏覽器的免費VPN)服務的用戶，可能已經陷入了惡意攻擊，以竊取密碼。MEW的常規用戶沒有受到攻擊的影響，因為MEW服務本身沒有受到影響。

該公司表示，Hola被入侵了5個小時，在此期間，任何通過VPN接入MEW并打開錢包的Hola用戶都可能受到影響。MEW建議在過去24小時內使用該網站和VPN的人將他們的代幣轉移到一個新錢包里。[2018/7/11]

攻擊步驟

①攻擊者通過閃電貸獲得了2900枚BNB。

②攻擊者將2900枚BNB換成了6,638,066,501,83枚WDOGE。

●LP的狀態：

○WdogE:199,177,850,468

○WBNB:2978

③將5,974,259,851,654枚WDOGE發送到LP，由于WDOGE比BNB多，所以LP現在處于不平衡狀態。

●LP的狀態：

○WDOGE:5,178,624,112,169

○WBNB:2978

④調用skim()函數，從LP中取回4,979,446,261,701枚WDOGE。由于攻擊者在調用skim()之前發送了大量的WDOGE，所以LP將支付大量的費用。這一操作清空了LP內的WDOGE的數量。

攻擊者還調用可sync()函數來更新LP內的儲備值。若干枚WDOGE和2978枚BNB的存在，造成了WDOGE的價格與WBNB相比異常昂貴。

⑤最后，攻擊者用剩下的WDOGE換回了2978枚BNB，償還了閃電貸，賺取了78枚BNB。

而其他幾個項目被攻擊的流程步驟也相似：

閃電貸取得WBNB，并用WBNB換取LP中的通縮代幣；

直接將通縮的代幣轉移到LP對上；

調用skim()函數，迫使LP對輸回通縮代幣；

由于轉讓費的存在，攻擊者會重復步驟2~3，將LP對中的通縮代幣耗盡；

通過LP對中的價格不平衡來獲取利潤。

漏洞分析

當用戶轉移一定數量的WDOGE時，除了費用，還有4%的代幣將被銷毀。

因此，如果LP發送100枚WDOGE，其余額將減少104枚WDOGE。

所以，LP應該被排除在費用和代幣銷毀之外。

資產去向

寫在最后

如果同時對代幣和LP合約進行審計，這一風險因素就可以被發現。

然而，如果只有代幣合約被審計，那么交換機制將被視為一個外部依賴。

而這種情況在審計過程中將會指出第三方依賴風險。具體為：如果是代幣合約，CertiK審計專家將會與項目方討論，確認是否需要除去LP對的手續費；如果是LP對方的合約，CertiK審計專家會提出通縮幣的討論，并且提醒項目方可能存在的風險。

Tags：DOGDOGEWDOWDOGEAI DogeXCEODOGE幣wdo幣市場價是多towdogecoin

BTC