據官方tg群消息,北京時間5月22日晚BoggedFinance項目遭遇閃電貸攻擊,隨后BOG代幣價格斷崖式下跌。
知道創宇區塊鏈
安全
實驗室
第一時間跟進分析本次安全事件。
以造成本次閃電貸攻擊的其中一筆交易為例,對應具體交易hash如下:0x47a355743456714d9abc23e1dff9e26430e38e84cc8b8e0a0b4ca475918f3475
LBank藍貝殼于4月10日01:00首發 BOSON,開放USDT交易:據官方公告,4月10日01:00,LBank藍貝殼首發BOSON(Boson Protocol),開放USDT交易,4月9日23:00開放充值,4月12日16:00開放提現。上線同一時間開啟充值交易BOSON瓜分10,000 USDT。
LBank藍貝殼于4月10日01:00開啟充值交易BOSON瓜分10,000 USDT。用戶凈充值數量不少于1枚BOSON ,可按凈充值量獲得等值1%的BOSON的USDT獎勵;交易賽將根據用戶的BOSON交易量進行排名,前30名可按個人交易量占比瓜分USDT。詳情請點擊官方公告。[2021/4/7 19:54:33]
黑客地址0x4622A1f3d05DcF5A0589c458136C231009B6A207通過攻擊合約0xe576790f35A8cC854d45b9079259Fe84F5294e07進行閃電貸攻擊,通過調用攻擊合約中攻擊函數,傳入參數15000000000000000000000,通過BankController合約進行閃電借貸15000BNB,通過WBNB合約兌換后開始進行套利攻擊。
AC與SushiChef合作推出借貸平臺Bento Box,BiKi平臺SUSHI 24小時漲幅42%:據悉,YFI創始人Andre Cronje與開發者SushiChef合作推出借貸平臺Bento Box。BiKi平臺SUSHI 24小時漲幅42%,現報價2.256USDT,行情波動較大,請注意風險控制。[2020/12/2 22:52:53]
本次閃電貸攻擊主要是由于BoggedFinance合約中_transferFrom函數中利用_txBurn函數出現邏輯漏洞,代幣合約對所有交易應當收取5%的交易額作為交易費用來銷毀,其中4%分紅給lp提供者,1%被燒毀,但在_transferFrom函數中未校驗轉賬地址,允許向自己轉賬,在自我轉賬的過程中,僅扣除1%手續費,而包括攻擊者在內的lp提供者獲得4%的分紅獎勵,所以攻擊者可以通過添加大量流動性進行流動性挖礦,并且反復自我轉賬獲利,最終移除流動性從而完成攻擊過程。
BitMax Bonna Zhu:RUNE以1:3的比例充當流動性池的結算媒介:6月30日,「BitMax有話說」Max DeFi系列第一期節目,由BitMax.io Staking業務負責人,亞洲區業務拓展負責人Bonna Zhu,對話跨鏈DeFi項目ThorChain的項目負責人Kai Ansaari,和核心研究員John-Paul,Thorbjornsen。同時邀請到亞太區“DeFi圈”核心KOL、本期專家觀察團成員:DeFi Labs創始人代代、TokenInsight首席分析師Johnson Xu及真本聰社區聯合創始人索老頭,共同見證ThorChain亞洲首秀。
Bonna Zhu這樣解析ThorChain項目及RUNE“螺旋上漲”經濟模式:在ThorChain的設計中,RUNE代幣需要充當流動性池中的結算媒介,與其他代幣一起進行質押,因而流動性池中質押了多少非RUNE資產,就需要同等價值的RUNE資產予以匹配。同時,根據代幣設計,RUNE的供給量中,只有1/3預留給了流動性池質押,因為剩余2/3都需用于ThorChain節點的Staking。[2020/6/30]
通過查看瀏覽器交易顯示,攻擊者在該筆交易中分4次將1298.20BNB、1489.05BNB、1707.95BNB、1959.03BNB在PancakeSwap中兌換為47770BOG,并用共計8434.07BNB和281174.22BOG在PancakeSwap的BNB-BOG池中添加流動性
如下圖所示,攻擊者在該筆交易中通過以下5筆交易將如下所示數量的WBNB與BOG添加流動性并將所獲得的流動性代幣進行抵押挖礦。
圖1添加流動性并進行你抵押挖礦為多次轉賬準備
隨后,攻擊者通過攻擊合約多次進行自我轉賬,進行獲利。
圖2反復自我轉賬
最后,攻擊者通過Nerve
跨鏈
橋將它們分批次轉換為
ETH
進行套現后移除流動性,返還閃電貸完成本次攻擊。
圖3移除流動性
圖4返還閃電貸
在攻擊發生后,項目社區內疑似管理員身份發布了相關通知,且現合約中已關停相關手續費收取功能,對應的_burnRate被設置為0,不存在套利空間。
圖5社群通知
圖6關閉手續費收取功能
最近BSC鏈上接連發生閃電貸攻擊事件,隨著鏈上
DeFi
生態的飛速發展,攻擊事件頻頻爆發。高級復雜的閃電貸攻擊手法,已經在以太坊生態中上演過很多次。可見,隨著其他鏈上DeFi生態的發展,攻擊者已逐漸將攻擊目標擴大到其他鏈的DeFi生態,DeFi安全問題也越來越需要被重視。
政策因素引起市場恐慌5月18日,中國三大行業協會集體發聲,“幣圈”迎來監管重拳整治,引起了注意,隔天5月19日美國財政部表示,將要求單筆等值1萬美元以上的加密貨幣交易必須上報至美國國稅局.
1900/1/1 0:00:00據Bitcoinwin數字貨幣平臺行情顯示,上周BTC受部分利好因素影響,BTC行情在前半周主漲,也是受部分利好影響,最高上漲至40800附近,隨后承壓回落,且在隨后幾日內行情持續下跌.
1900/1/1 0:00:00OKEx歐易行情顯示,5月19日,比特幣從44000美元開始下跌,晚間9點最低下探至29000美元。24小時內,加密市場總市值跌去29%,47.5萬人成為爆倉受害者,全網總計爆倉58.7億美元.
1900/1/1 0:00:00特斯拉CEO埃隆·馬斯克今早發推稱,特斯拉暫停使用比特幣支付,正考慮使用能源消耗更低的加密貨幣.
1900/1/1 0:00:00播報數據由Greeks.live和Skew.com提供。在外有全球資本市場整體下跌,內有動物幣群魔亂舞的背景下,以太坊作為本輪牛市的龍頭,強勢拉升至4200美元的新高ATH.
1900/1/1 0:00:00近兩日對所有持有倉位和低位加了倉位的人來說,肯定是煎熬的兩日,這樣的洗盤對所有參與者來說可能是一個災難,但是對整個市場的發展來說,卻可能是一個長效的利好.
1900/1/1 0:00:00