Dot Finance閃電貸安全事件分析-ODAILY_POL

前言

8月25日，知道創宇區塊鏈安全實驗室監測到BSC鏈上的DeFi協議DotFinance遭遇閃電貸襲擊，價值跌落近35%。實驗室第一時間跟蹤本次事件并分析。

涉及對象

黑客地址：

0xDFD78a977c08221822F6699AD933869Da6d9720C

波卡推出去中心化治理平臺Polkadot OpenGov，支持同時進行多個公投:6月15日消息，波卡推出去中心化且開放的治理平臺Polkadot OpenGov，簡化其治理模型。改進的治理平臺廢除了Polkadot委員會等一等公民，取代Polkadot理事會和技術委員會的是一個名為Polkadot Fellowship的新當選機構，它對網絡沒有實權，也不能更改參數或移動資產，Fellowship有45名成員，并且隨著核心開發人員提交候選資格，該成員可能會繼續增長。

此外，新的治理模型支持同時對多個問題進行投票，一切都由社區直接控制，之前的治理系統一次只能進行一次公投，默認情況下每次公投持續28天，因此一年只能進行12或13次公投。[2023/6/15 21:40:15]

攻擊合約地址：

PayPal正研究以太坊、Polkadot、Solana和Algorand，以擴展其支付技術:11月19日消息，支付巨頭PayPal正在積極監控處理擴展支付的第一層和第二層網絡，其中包括以太坊、Polkadot、Solana和Algorand，該平臺正在研究這些網絡及其貨幣如何適應其可擴展支付基礎設施的計劃。

此前報道，PayPal于今年9月宣布正式支持英國用戶交易比特幣、以太坊、萊特幣和比特幣現金。不久后，PayPal旗下Venmo錢包擴展加密服務，并推出新的現金返還工具。（Crypto News Flash）[2021/11/20 7:00:30]

0x33f9bB37d60Fa6424230e6Cf11b2d47Db424C879

Bandot上線資產跨鏈網關系統Guru并與火幣HBTC達成合作:據最新消息，波卡生態上的跨鏈DeFi聚合平臺Bandot宣布與火幣HBTC達成合作，今日正式上線資產跨鏈網關系統Guru，并開啟HBTC鎖倉空投1000萬BDT激勵。

Bandot是波卡生態上擁有無借貸抵押系統的跨鏈流動性聚合平臺。Bandot為最大化用戶資產流動性而設計，在流動性挖礦、無抵押借貸、穩定幣兌換上為用戶提供便利。

H系列資產是火幣基于ERC20標準發行的數字資產，采用1:1的比例錨定主流加密貨幣進行抵押鑄造，目前已進入Curve、Harvest、C.R.E.A.M和BoringDAO等頭部DeFi協議。[2020/12/21 15:56:23]

受害合約地址：

0x16fd050f05f8fc361cf9083aa3f624a2bf7e914d0xbfca3b1df0ae863e966b9e35b9a3a3fee2ad8b07

攻擊涉及主要函數分析

分析交易哈希

0x68170a309ab2e944e178ccf9bf6f19e25a3f356031ce53539bb9669fc77172f2

swap函數

1.整個交易都始于PancakePairswap函數

2.為攻擊提供資金支持

getreward函數

1.使用balanceOf(address(this))獲取CAKE代幣余額

2.通過CAKE代幣余額來鑄造獎勵

簡要過程及原理分析

1.黑客使用PancakeSwap閃電貸獲得初始資金100Cake代幣；

2.通過將Cake代幣打入VaultPinkBNB合約，來影響getReward函數獲取合約Cake代幣真實值，同時performanceFee參數受Cake代幣真實值影響數值巨大；

3.最后mintFor函數使用受影響的performanceFee參數向黑客鑄造大量pink代幣獎勵；

總結

此次攻擊屬于PancakeBunny同類型的攻擊事件，迄今為止此類攻擊事件已發生多次，知道創宇區塊鏈安全實驗室再次提醒，近期BSC鏈上頻頻爆發攻擊事件，合約安全愈發需要得到迫切重視，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：DOTCAKEPOLANCpolkadot波卡鏈CCAKE幣poly幣是什么幣Blur Finance

幣贏