據CertiK安全團隊監測,,WienerDOGE項目于北京時間2022年4月24日下午4時33分被惡意利用,造成了3萬美元的損失。攻擊者利用WDODGE的收費機制和交換池之間的不一致,發起了攻擊。
事件發生的根本原因是:通過緊縮的代幣合約造成發送方的LP對沒有被排除在轉賬費用之外。因此,攻擊者能夠將LP對中的通貨緊縮代幣耗盡,進而導致貨幣對價格失衡。
而隨后于同一天接連發生了另外三起惡意利用:
同天下午6時20分,LastKilometer項目被閃電貸攻擊利用,造成了26495美元的損失;
安全團隊:MetaPoint(POT)宣布因遭黑客攻擊而暫停運營:金色財經報道,據CertiK監測,MetaPoint(POT)項目在其Telegram宣布因遭到黑客攻擊而暫停運營,其幣價已下跌78%以上。
BSC合約地址:0x3b5e381130673f794a5cf67fbba48688386bea86[2023/4/12 13:58:13]
同天晚上9時45分,Medamon項目被閃存貸攻擊利用,造成3159美元的損失;
緊接著,PI-DAO項目被閃存貸攻擊利用,造成了6445美元的損失。
安全團隊:Transit Swap最大黑客目前已歸還超8成被盜資金:金色財經報道,據慢霧Mist Track分析,截止目前Transit Swap被盜事件中,盜取最大資金的黑客(地址為 0x75F2...FD46 和 0xfa71...90fb)已歸還超1890萬美元的被盜資金,歸還資金占總被盜資金約83.6%。剩余被盜資金中的12,500BNB 被轉移到Tornado Cash,占總被盜資金約 15.7%。此前,該黑客將約1400萬MOONEY代幣和67,709DAI代幣轉入ShibaSwap:BONE Token合約地址,導致資金無法取出。[2022/10/3 18:38:42]
這一系列攻擊的攻擊者與攻擊方法,與同一天早些時候發生的WienerDOGE相同。
Tether 將與多鏈黑客相關的以太坊地址列入黑名單:金色財經報道,據 Etherscan 數據,穩定幣發行商 Tether凍結了一個持有價值超過 715,000 美元USDT 的以太坊地址。根據 Etherscan 對涉及錢包的交易的標記以及分析,該地址可追溯到近一個月前在跨鏈橋 Multichain 上竊取 300 萬美元加密貨幣的黑客。Multichain 的黑客攻擊是由一個安全漏洞造成的,該項目背后的團隊在 1 月份警告用戶注意這一點。應執法部門的要求,1 月中旬,三個擁有超過1.6 億美元 USDT的地址被凍結。在多個區塊鏈上發行代幣的 Tether 在 2017 年發生違規事件后開始將地址列入黑名單,該公司表示,3000 萬美元的 USDT 被盜。(Coindesk)[2022/2/14 9:49:19]
WienerDOGE攻擊流程
新加坡BitSG幣星交易所成功抵御黑客百G DDOS攻擊:據幣星官方5月9日最新消息:黑客對BitSG官網及APP連續不間斷的DDOS攻擊,每秒DDOS攻擊峰值達96G。目前,BitSG幣星交易所已成功抵御黑客的所有攻擊行為。
新加坡BitSG幣星交易所現已運轉如常,沒有一位用戶在本次黑客襲擊事件中受到損失,請廣大用戶放心。[2020/5/9]
攻擊者通過閃電貸獲得了2900枚BNB。
攻擊者將2900枚BNB換成了6,638,066,501,83枚WDOGE
WdogE:199,177,850,468
WBNB:2978
LP的狀態:
將5,974,259,851,654枚WDOGE發送到LP,由于WDOGE比BNB多,所以LP現在處于不平衡狀態。
WDOGE:5,178,624,112,169
WBNB:2978
LP的狀態:
調用skim()函數,從LP中取回4,979,446,261,701枚WDOGE。由于攻擊者在調用skim()之前發送了大量的WDOGE,所以LP將支付大量的費用。這一操作清空了LP內的WDOGE的數量。
攻擊者還調用可sync()函數來更新LP內的儲備值。若干枚WDOGE和2978枚BNB的存在,造成了WDOGE的價格與WBNB相比異常昂貴。
5.最后,攻擊者用剩下的WDOGE換回了2978枚BNB,償還了閃電貸,賺取了78枚BNB。
而其他幾個項目被攻擊的流程步驟也相似:
閃電貸取得WBNB,并用WBNB換取LP中的通縮代幣;
直接將通縮的代幣轉移到LP對上;
調用skim()函數,迫使LP對輸回通縮代幣;
由于轉讓費的存在,攻擊者會重復步驟2~3,將LP對中的通縮代幣耗盡;
通過LP對中的價格不平衡來獲取利潤。
合約漏洞分析
當用戶轉移一定數量的WDOGE時,除了費用,還有4%的代幣將被銷毀。
因此,如果LP發送100枚WDOGE,其余額將減少104枚WDOGE。
所以,LP應該被排除在費用和代幣銷毀之外。
資產損失
審計的作用
CertiK審計專家認為:如果同時對代幣和LP合約進行審計,這個漏洞就可能被發現。然而,如果只有代幣合約被審計,那么交換機制將被視為一個外部依賴。而這種情況在審計過程中將會指出第三方依賴風險。具體為:如果是代幣合約,CertiK審計專家將會與項目方討論,確認是否需要除去LP對的手續費;如果是LP對方的合約,CertiK審計專家會提出通縮幣的討論,并且提醒項目方可能存在的風險。
作為區塊鏈安全領域的領軍者,CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止,CertiK已獲得了3200家企業客戶的認可,保護了超過3110億美元的數字資產免受損失。
頭條 ▌巴菲特:比特幣不是一種生產性資產,不會產生任何有形的東西金色財經報道,在伯克希爾哈撒韋公司今年的股東大會上,巴菲特再次抨擊加密貨幣稱,比特幣不是一種生產性資產,不會產生任何有形的東西.
1900/1/1 0:00:00“一切皆有可能” 這是國貨之光,國潮品牌李寧的一直以來的Slogan,而李寧是“體操王子”李寧在1990年創立的專業體育品牌.
1900/1/1 0:00:00風乍起,吹皺NFT市場一池春水。不吹不黑,接下來的thread,我將基于過去幾天對@ensdomain數字域名市場的深入觀察,并結合@duneanalytics上的鏈上數據的客觀反應,談一談我對.
1900/1/1 0:00:007:00-12:00關鍵詞:綠地集團、三箭資本、Otherside、RogerVer1.三箭資本將總部從新加坡遷至迪拜;2.美國立法者重新提出法案.
1900/1/1 0:00:004月底,ADAMoracle項目月度推廣會如期在東京舉辦,基于以往線上和線下雙渠道的形式,ADAMoracle日本社區代表與眾多技術愛好者和投資者現身會議,圍繞當前區塊鏈技術下面臨的數據困局.
1900/1/1 0:00:00在過去的十年里,網絡效應推動了Web2平臺的崛起,也奠定了其主導地位,同時激發了建設者和投資者的想象力。一些人認為網絡效應在Web3中會更加強大,而另一些人則認為Web3會扼殺網絡效應.
1900/1/1 0:00:00