比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

CertiK:ZEED被盜百萬美元資產事件分析_YEED

Author:

Time:1900/1/1 0:00:00

北京時間2022年4月21日下午3時15分,CertiK審計團隊監測到ZEED項目被攻擊,造成了104萬美金的財產損失。被盜取資金被轉移至一合約中,而該合約具有自我銷毀功能,因此該操作無法逆轉,資金無法被追回。

攻擊步驟

①攻擊者合約從HO-SWAPLP收到662枚YEED代幣。

②這662枚YEED代幣被發送到BSC-USD-YEED。由于收費機制的存在,一些收費代幣也將被發送到3個LP對,分別是:BSC-HO-YEED2;BSC-USD-YEED2,BSC-ZEED-YEED2。

The Block Research副總裁Larry Cermak升任CEO:3月31日消息,The Block Research 副總裁 Larry Cermak 在社交媒體上發文表示,其個人將出任 The Block 首席執行官一職。同時,加密做市商 Wintermute 創始人兼首席執行官 Evgeny Gaevoy 正加入 The Block 董事會。

Larry Cermak 表示,目前加密市場的環境與 5 年前大不相同,The Block 需要調整以更快地適應市場波動,其個人當前的目標是引導 The Block 實現盈利,工作將專注于創收并精簡其員工隊伍。The Block 未來仍將致力于加倍投入研究、數據和新聞,確保繼續提供高質量內容。[2023/3/31 13:38:03]

③由于費用計算出錯,一些YEED代幣也將被錯誤地創建/發送到LP。

Cere Network宣布推出去中心化數據即服務Vision 2.0:10月21日消息,去中心化數據云平臺Cere Network宣布推出去中心化數據即服務(DaaS)Vision 2.0,旨在將數據控制權還給用戶和內容創作者,Vision 2.0將支持去中心化數據云(DDC)及其所支持的Cere工具和服務套件,包括Cere去中心化內容交付網絡、NFT鑄造平臺Freeport、Cere通用錢包、Cere NFT市場和內容管理系統(CMS)、Cere去中心化數據查看器(DDV)、以及通用NFT/內容注冊表、Cere實時體驗構建器(RXB)、改進的SDK/加密/解密包、視頻流等。[2022/10/21 16:34:29]

④從這一刻起,每個LP就處于不平衡狀態。在每個LP合約中,都有著與其他代幣相較過多的YEED代幣。

區塊鏈安全公司CertiK正式開源CertiKChain:CertiK基金會宣布現已正式開源CertiKChain。目前已開放使用的產品包括CertiKChain、去中心化CertiK安全預言機、用于編寫安全智能合約的安全編程語言和編譯器工具鏈DeepSEA工具鏈。據此前報道,9月7日,CertiK發布基于CertiK鏈的去中心化安全預言機,旨在有效減少鏈上交易與實時安全檢測之間的距離,致力于運用去中心化的方法來解決安全難點。[2020/9/17]

⑤然后,攻擊者將在每個LP上不斷循環調用skim(to:LP)函數。該函數是為了重新調整LP內的兩種代幣的數量,將多余的代幣發送到to參數。由于攻擊者配置的目的地是LP本身,不平衡將不斷增加,更多的獎勵代幣將被創建。

每一次的轉移都會:

從一種LP發送YEED代幣到另外一種LP。

向LP發送因錯誤產生的YEED代幣獎勵

通過以上方式,攻擊者保持了LP內代幣的不平衡,并且每次都會增加LP內YEED代幣的數量。

比如,我們可以看到在BSC-ZEED-YEED2LP中,最初的YEED的數量是96個。

而當攻擊者調用skim(to:attacker_contract)以后,LP中的YEED余額為368,560。

最后一次調用,則將368,560枚代幣發送給了攻擊者。

攻擊者對3個不同的貨幣對進行處理,總數為87,479,473枚YEED代幣:

83,127,354YEED來自BSC-USD-YEEDLP對。

3,983,869YEED來自BSC-HO-YEEDLP對。

368,560YEED來自BSC-ZEED-YEEDLP對。

⑥然后,攻擊者進行多次互換,將其收益轉換為BSC-USD。

比如,用戶A向用戶B發送了100個YEED,如果rewardFee是10。

用戶B收到90獎勵

LPBSC-USD-YEED2收到10獎勵

LPBSC-ZEED-YEED2收到10獎勵

LPBSC-HO-YEED2收到10獎勵

這樣以來,就有20枚代幣被錯誤地憑空創建了。

而真正的YEED獎勵機制應該運營如下:

50%的獎勵費用發送到_balances(LPBSC-USD-YEED2)

25%的獎勵費用發送到_balances。

25%的獎勵費用發送到_balances(LPBSC-HO-YEED2)。

寫在最后

此次事件造成了104萬美金的損失。由于資金在合約中,而合約具有自我銷毀功能,所以該操作無法復原,即任何人都無法再取出這筆財產,包括攻擊者本身。通過審計,我們可以了解到發送到LP的代幣將破壞LP的平衡,并且審計也能發現獎勵計算機制的錯誤。

Tags:YEEYEEDCERBSCyee幣官網yeed幣是騙局嗎ceres幣價格BSCCROP

以太坊交易所
幣安定投計劃新增上線:APE、ILV、MBOX_ANC

親愛的用戶: 幣安「定投計劃」現已新增APE、ILV、MBOX。現階段,用戶可以從現有加密貨幣中進行選擇,借助成本平均法策略進行投資.

1900/1/1 0:00:00
META注冊邀請空投 —— 豪送6,000,000,000,000 META !_MET

親愛的用戶:???ZT將對平臺新注冊用戶及參與邀請活動用戶舉辦META糖果空投活動!活動一:參與注冊,可獲得空投。活動期間內,新用戶在ZT交易平臺注冊可獲得53,000,000枚META.

1900/1/1 0:00:00
ZT ETF板即將上線AMP 3倍杠桿產品_CLUB

親愛的ZT用戶: ZTETF板即將上線AMPBULL,AMPBEAR,並開啟AMPBULL/USDT,AMPBEAR/USDT交易對.

1900/1/1 0:00:00
關于USD Reserve (USDR)交易及提現功能即將開放的公告_TMA

親愛的BitMart用戶:USDReserve(USDR)交易及提現功能即將開放。具體各項功能開放時間請參照:充值功能:已開啟交易功能:2022年04月19日16:00(USDR/USDT),2.

1900/1/1 0:00:00
HOPOO:a16z宣布成立加密研究團隊以推動Web3發展

HOPOO琥珀近期了解到,風險投資公司AndreessenHorowitz(a16z)周四宣布創建a16z加密研究團隊,這是一種新型的多學科實驗室,將與a16z的投資組合和其他人密切合作.

1900/1/1 0:00:00
Foresight Ventures市場周報:Moonbirds交易活躍,投融資進度加快_FOR

宏觀流動性 貨幣流動性趨緊,加息縮表主要關注美股行情聯動。美國3月CPI同比8.5%大概率已觸頂,后續加息預期將逐步降溫。美聯儲5月4日可能加息50bp,且開始每月縮表.

1900/1/1 0:00:00
ads