比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

首發 | 數次閃電貸無成本套利125萬美元 New Free DAO攻擊事件分析_NFD

Author:

Time:1900/1/1 0:00:00

2022年9月8日,CertiKSkynet天網監測到NewFreeDAO(NFD)項目遭遇了閃電貸攻擊。

漏洞在NFD項目部署的一個未經驗證的獎勵合約中,攻擊者利用閃電貸借入NFD代幣,并將其發送到攻擊合約。隨后攻擊合約則調用未經驗證的獎勵合約,向攻擊者發送更多的NFD代幣。

攻擊者在3次攻擊中重復這個過程,獲取了4481個WBNB,價值約125萬美元。

由于攻擊者大量拋售NFD代幣,該代幣的價格已經暴跌超過99%。

攻擊步驟

①攻擊者部署了一個惡意合約。在同一筆交易中,它調用了以下函數,將自己添加為合約成員。

UniSwap Labs推出300萬USDC額外漏洞賞金計劃:11月26日消息,UniSwap Labs官方宣布推出一項高達300萬USDC的額外漏洞賞金計劃,在Universal Router和Permit2發布之前(2022年11月30日之前)發現的所有漏洞可獲最高3,000,000 USDC的額外獎勵,范圍覆蓋UniversalRouter.sol及其所有依賴項和Permit2.sol及其所有依賴項。[2022/11/26 20:47:46]

②攻擊者執行了三次閃電貸攻擊,借助第一筆閃電貸款,借入250個WBNB,并將其交易為6,313,508個NFD代幣。

③這些代幣被發送到一些未經驗證的合約中。

Core Scientific:現金資源將在2022年底或更早之前耗盡,將不支付近期到期款項:10月27日消息,根據比特幣礦商Core Scientific(CORZ)提交給美國證券交易委員會(SEC)的文件,其預計現有的現金資源將在年底前耗盡,可能更早,能否在一段合理時間內持續經營存在重大疑問。該公司將不支付2022年10月底和11月初到期的有關其若干設備和其他融資(包括其兩份過橋本票)的款項。[2022/10/27 11:49:18]

④這調用了0xe2f9d09c,輸入NFD代幣地址0x0000000000000000000038c63a5d3f206314107a7a9fe8cbba29d629d4f9。

Primex Finance在以太坊Goerli測試網推出Primex Beta:10月10日消息,跨鏈衍生品協議Primex Finance宣布在以太坊Goerli測試網上推出Primex Beta,允許用戶體驗其跨DEX現貨保證金交易。

據此前報道,Primex Finance完成570萬美元種子輪融資。(Businesswire)[2022/10/11 10:30:12]

⑤這觸發了NFD項目部署的另一個未經驗證的獎勵合約0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e.0x6811e3b9()。

之后,未驗證的合約實際上從獎勵合約中收到了額外的525,283個NFD代幣——總計6,838,792個NFD代幣,這些代幣被發回給了攻擊合約。

華爾街日報:Celsius的資產股本比約19:1,僅為北美銀行中值的一半:6月29日消息,截至去年夏天,加密借貸平臺Celsius Network在籌集新資金之前擁有190億美元的資產和大約10億美元的股本,資產股本比約為19:1。而FactSet數據顯示,標普1500綜合指數(S&P 1500 Composite index)中所有北美銀行的資產股本比中值約為9:1。[2022/6/29 1:39:11]

⑥在上述交易中,NFD合約錯誤地釋放了額外的525,283NFD。因此當攻擊者完成攻擊時,獲取了總計343,323,371個NFD代幣,在償還了最初的250WBNB貸款后,獲利4481WBNB,總價值約125萬美元。

⑦最后攻擊者通過兩筆交易,將2,000WBNB換為556,556.72USDT。目前攻擊者錢包仍持有2,481WBNB。

漏洞分析

本次攻擊事件的漏洞位于NFD項目部署的一個未經驗證的獎勵合約。由于NFD合約的源代碼在BSCScan上未被驗證,因此還無法確定攻擊者用來利用合約的確切機制。

資金去向

攻擊者總共獲得了4481個WBNB,并將其中的2000個換成了55.7萬枚USDT,剩下的WBNB仍然在攻擊者的賬戶中。

將2000WBNB交易為USDT的兩筆交易:

https://bscscan.com/tx/0x8c035fc9c3d944b3dd4a0ea721c119240cb624e79b7625a16173ad6682410599?

https://bscscan.com/tx/0xda4b4de6ecacfe9b8b60167a2010630aeec103ab51920eb2e1b94ba1fef6c95b?

相關地址

攻擊者賬戶:

https://bscscan.com/address/0x22c9736d4fc73a8fa0eb436d2ce919f5849d6fd2?

攻擊合約:

https://bscscan.com/address/0xa35ef9fa2f5e0527cb9fbb6f9d3a24cfed948863?

未經驗證的獎勵合約:

https://bscscan.com/address/0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e?

WBNB-USDT對:

https://bscscan.com/address/0x16b9a82891338f9ba80e2d6970fdda79d1eb0dae?

USDT-NFD對:

https://bscscan.com/address/0x26c0623847637095655b2868c3182b2285bdaeaf?

寫在最后

攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會持續于官方公眾號發布與項目預警相關的信息。

CertiK的端到端安全解決方案,從智能合約審計和KYC項目背景調查服務,到Skynet天網動態掃描系統和SkyTrace等區塊鏈分析工具,以及漏洞賞金計劃,助力每一個項目充分發揮潛力的同時為Web3.0打造用戶和投資者高參與的生態系統。

來源:金色財經

Tags:NFDBNBWBNBCOMINFD價格MBNB價格wbnb是騙局嗎COMFY

fil幣價格今日行情
主流媒體對以太坊合并的看法:冒險的舉動還是氣候的涅槃?_以太坊

主流媒體開始注意到下周以太坊合并的重要性,將其描述為一場“重大改革”,可能會加速加密貨幣的采用,或者如果合并失敗,會給整個市場帶來災難性的沖擊.

1900/1/1 0:00:00
探尋 Alpha 項目趨勢與頭部基金投資偏好_ION

從一級市場角度,領略Builders的耕耘和布局。原文標題:《熊市下的Web3投資:哪些賽道值得布局?探尋頭部基金和Alpha》撰文:Jessica,Aaron,Rosie摘要:Web3市場遭遇.

1900/1/1 0:00:00
在數據泄露“成癮”的時代, 聯邦學習如何實現AI在機器學習過程中的數據保護?_區塊鏈

AI作為一種通用技術,在各個領域賦予了我們生活極大的便利。進入元宇宙,數據的開放共享必成為一種趨勢,在數據生產力的時代中,數據價值創造的效率提升將帶來質的突破.

1900/1/1 0:00:00
前 Meta 高管籌集 3 億美元以“加速采用”Sui 區塊鏈_RES

投資者包括FTXVentures、CoinbaseVentures、JumpCrypto、a16z、CircleVentures等.

1900/1/1 0:00:00
英國新任首相亮相.但市場擔憂該國財政風險高企_RES

周二市場需要密切關注美國8月的ISM非制造業PMI數據,而澳洲聯儲也將會公布利率決議。周一因北美市場休市,市場整體表現較為清淡.

1900/1/1 0:00:00
12個鏈上潛在空投永續合約項目一覽_TAL

原文作者:0x214,BlockBeats近日,推特上賬戶名為「uhr3al」的加密玩家在社交媒體發布了一份永續合約項目名單,其中有12個鏈上永續合約協議尚未發幣.

1900/1/1 0:00:00
ads