2022年9月8日,CertiKSkynet天網監測到NewFreeDAO(NFD)項目遭遇了閃電貸攻擊。
漏洞在NFD項目部署的一個未經驗證的獎勵合約中,攻擊者利用閃電貸借入NFD代幣,并將其發送到攻擊合約。隨后攻擊合約則調用未經驗證的獎勵合約,向攻擊者發送更多的NFD代幣。
攻擊者在3次攻擊中重復這個過程,獲取了4481個WBNB,價值約125萬美元。
由于攻擊者大量拋售NFD代幣,該代幣的價格已經暴跌超過99%。
攻擊步驟
New Form Capital創始人:現在加密貨幣中普遍存在的感覺是恐懼:金色財經報道,區塊鏈公司New Form Capital創始人兼合伙人Alex Marinier在接受采訪時表示,我的觀點是,現在加密貨幣中普遍存在的感覺是恐懼。更悲觀的環境是繼續投資的吸引力,并補充說“現在是進行分配的時候了”。迄今為止,New Form已經分配了其7500萬美元的第二基金中的大約30%。Marinier分享道,New Form第二支基金的大部分交易都處于其目標的“最佳位置”,即估值在1500萬至3500萬美元之間的加密初創公司。[2022/10/14 14:27:12]
①攻擊者部署了一個惡意合約。在同一筆交易中,它調用了以下函數,將自己添加為合約成員。
Ignite的原始聯合創始人重新擔任NewTendermint首席執行官:金色財經報道,Cosmos開發公司Ignite在2 月份進行品牌重塑后,宣布將拆分為兩個實體:Ignite 和 NewTendermint。隨著拆分,Ignite的原始聯合創始人Jae Kwon將作為 NewTendermint 的首席執行官重新加入他的舊團隊。Ignite現任CEO彭忠將繼續擔任重組后的Ignite CEO。
Jae Kwon于 2014 年共同創立了 Ignite(當時稱為 Tendermint),但他于2020年辭去公司首席執行官一職,專注于他的以太坊競爭對手Gno.Land。(Coindesk)[2022/5/26 3:42:21]
Newland上線MDX-MDX/HT流動性挖礦:據官方消息,Newland現已上線MDX/HT流動性挖礦,此前,Newland聚合挖礦已上線MDEX、LAVAswap、Sushi在內的12個LP。
據悉,Newland是火幣礦池基于Heco鏈發行的HPT Finance系列產品,旨在打造一個跨生態、一站式的聚合挖礦入口,賦能HPT價值發展。[2021/5/8 21:38:21]
②攻擊者執行了三次閃電貸攻擊,借助第一筆閃電貸款,借入250個WBNB,并將其交易為6,313,508個NFD代幣。
③這些代幣被發送到一些未經驗證的合約中。
④這調用了0xe2f9d09c,輸入NFD代幣地址0x0000000000000000000038c63a5d3f206314107a7a9fe8cbba29d629d4f9。
動態 | 去中心化通信公司 New Vector 完成 850 萬美元融資 推動通訊協議 Matrix 發展:總部位于倫敦的去中心化通信公司 New Vector 已經完成 850 萬美元融資,用于推動實際通訊協議 Matrix 的應用和擴展。該公司表示其 A 輪融資投資者包括 Firstminute Capital、Notion Capital、Dawn Capital。[2019/10/11]
⑤這觸發了NFD項目部署的另一個未經驗證的獎勵合約0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e.0x6811e3b9()。
之后,未驗證的合約實際上從獎勵合約中收到了額外的525,283個NFD代幣——總計6,838,792個NFD代幣,這些代幣被發回給了攻擊合約。
⑥在上述交易中,NFD合約錯誤地釋放了額外的525,283NFD。因此當攻擊者完成攻擊時,獲取了總計343,323,371個NFD代幣,在償還了最初的250WBNB貸款后,獲利4481WBNB,總價值約125萬美元。
⑦最后攻擊者通過兩筆交易,將2,000WBNB換為556,556.72USDT。目前攻擊者錢包仍持有2,481WBNB。
漏洞分析
本次攻擊事件的漏洞位于NFD項目部署的一個未經驗證的獎勵合約。由于NFD合約的源代碼在BSCScan上未被驗證,因此還無法確定攻擊者用來利用合約的確切機制。
資金去向
攻擊者總共獲得了4481個WBNB,并將其中的2000個換成了55.7萬枚USDT,剩下的WBNB仍然在攻擊者的賬戶中。
將2000WBNB交易為USDT的兩筆交易:
https://bscscan.com/tx/0x8c035fc9c3d944b3dd4a0ea721c119240cb624e79b7625a16173ad6682410599
https://bscscan.com/tx/0xda4b4de6ecacfe9b8b60167a2010630aeec103ab51920eb2e1b94ba1fef6c95b
相關地址
攻擊者賬戶:
https://bscscan.com/address/0x22c9736d4fc73a8fa0eb436d2ce919f5849d6fd2
攻擊合約:
https://bscscan.com/address/0xa35ef9fa2f5e0527cb9fbb6f9d3a24cfed948863
未經驗證的獎勵合約:
https://bscscan.com/address/0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e
WBNB-USDT對:
https://bscscan.com/address/0x16b9a82891338f9ba80e2d6970fdda79d1eb0dae
USDT-NFD對:
https://bscscan.com/address/0x26c0623847637095655b2868c3182b2285bdaeaf
寫在最后
攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會持續于官方公眾號發布與項目預警相關的信息。
CertiK的端到端安全解決方案,從智能合約審計和KYC項目背景調查服務,到Skynet天網動態掃描系統和SkyTrace等區塊鏈分析工具,以及漏洞賞金計劃,助力每一個項目充分發揮潛力的同時為Web3.0打造用戶和投資者高參與的生態系統。
據區塊鏈瀏覽器TRONSCAN數據,過去一周,波場版穩定幣日均轉賬額為11,887,625,503美元,超過118億美元.
1900/1/1 0:00:0011月9日,波場TRON創始人孫宇晨在其社交媒體公開宣布,波場DAO與Huobi永久1:1兌換FTX波場系代幣TRX、BTT、JST、SUN與HT。以下為公告詳細內容.
1900/1/1 0:00:00本推薦列表可能是一個活的信息來源,每個信息源都會以一定頻率更新,適合剛入門web3的小伙伴,挑選1、2個你欣賞其策展邏輯和水平的信息源,深入探索。這遠比在推特亂撞更適合web3入門學習.
1900/1/1 0:00:00FTX&AlamedaGamingInvestments時間線梳理:2017年10月,SamBankman-Fried用自有資金創辦加密貨幣量化交易公司AlamedaResearch;2.
1900/1/1 0:00:00Plan?基金會在盧加諾的麥當勞等地點推出大規模的加密支付Plan?基金會與GoCrypto合作.
1900/1/1 0:00:00據官方消息,USDD/BTC、USDD/ETH、USDD/APT交易對已正式登陸HuobiGlobal.
1900/1/1 0:00:00