創宇區塊鏈：bDollar項目遭受攻擊，價格如何能成為一把利器？-ODAILY_NAR:SON

前言

北京時間2022年4月30日，知道創宇區塊鏈安全實驗室監測到BSC鏈上的bDollar項目遭到價格操縱攻擊，導致損失約73萬美元。

知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

基礎信息

攻擊者地址：0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e

攻擊合約：0x6877f0d7815b0389396454c58b2118acd0abb79a

區塊鏈基金Zero Age Ventures已籌集1000萬美元資金:5月25日消息，澳大利亞風投基金 Kosmos Ventures背后團隊宣布推出新投資基金Zero Age Ventures，專注于區塊鏈技術。Zero Age Ventures將繼續管理Kosmos的新投資。在成功完成初始交易后，General Partners認捐了高達1000萬 美元的自有資本，Zero Age Ventures將在2023年和2024年分配大量資金。

Kosmos最初成立于2017年，對Solana、 Algorand、Polkadot 和Fantom等協議進行了大量種子投資。[2023/5/25 10:40:15]

tx：0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4

美聯儲梅斯特：如果條件允許，美聯儲可以加快加息步伐:金色財經報道，美聯儲梅斯特發表講話時表示，如果通脹風險成為現實，美聯儲屆時便可能需要繼續提高利率，甚至如果條件允許，美聯儲可以加快加息步伐。

此外還表示，不準備在下次FOMC會議上宣布美聯儲是否需要更大幅度的加息。[2023/2/17 12:12:04]

CommunityFund合約：0xEca7fC4c554086198dEEbCaff6C90D368dC327e0

漏洞分析

漏洞關鍵在于CommunityFund合約中的claimAndReinvestFromPancakePool方法在使用Cake代幣進行代幣轉換時，會對換取的WBNB數量進行判斷并且會自動把換取的WBNB的一半換為BDO代幣；而之后合約會自動使用合約中的WBNB為池子添加流動性，若此時BDO代幣的價值被惡意抬高，這將導致項目方使用更多的WBNB來為池子添加流動性。

Sonar將“Sonar Platform”品牌更名為“Sonar Studio”并推出v 0.3版本:10月21日消息，基于Solana的追蹤工具Sonar宣布將“Sonar Platform”品牌更名為“Sonar Studio”并推出Sonar Studio v 0.3版本，主要包括三個部分：1、重新設計和優化Sonar Studio；2、新增Sonar Academy；3、推出和集成Sonar Blockchain API。品牌更名標志其產品開發將聚焦在更大生態系統中，據悉Sonar Studio還將新增支持三個區塊鏈：Avalanche、Fantom和Cronos，同時還將遷移到專有Sonar區塊鏈索引應用程序接口。（cryptonews）[2022/10/21 16:34:07]

韓國手游公司Me2Gen與Studio Santa Claus合作擴展區塊鏈與NFT領域業務:金色財經報道，韓國手游公司 Me2Gen宣布，其子公司 Miverse Labs 與 Studio Santa Claus 簽署了一項業務協議，以擴展區塊鏈生態系統并培育新的NFT業務。兩家公司計劃通過將 NFT 技術應用于 Studio Santa Claus 擁有的藝術家和內容來擴展基于區塊鏈的娛樂生態系統。[2022/6/8 4:10:02]

而最為關鍵的是，攻擊者實施攻擊前，在WBNB/BDO、Cake/BDO、BUSD/BDO池子中換取了大量BDO代幣導致BDO價格被抬高。

在我們對攻擊交易進行多次分析之后，發現事情并沒有那么簡單，該次攻擊極有可能是被搶跑機器人搶跑交易了，依據如下：

1、該筆攻擊交易比BSC鏈上普通交易Gas費高很多，BSC鏈上普通交易默認Gas費為5Gwei，而該筆交易竟高達2000Gwei。

2、我們發現該攻擊合約與攻擊者地址存在多筆搶跑交；

3、我們在相同區塊內找尋到了真實攻擊者的地址與交易，該交易被回滾了。

攻擊流程

1、攻擊者使用閃電貸貸款670枚WBNB；

2、之后攻擊者將WBNB在各個池子中換取大量BDO代幣；

3、隨后攻擊者再次使用閃電貸貸款30516枚Cake代幣；

4、將貸款的Cake代幣進行swap，換取400WBNB，其中200枚被協議自動換取為BDO代幣；

5、攻擊者將WBNB換取Cake代幣用于歸還閃電貸；

6、最后，攻擊者將升值后的3,228,234枚BDO代幣換取3020枚WBNB，還款閃電貸671枚，成功套利2381枚WBNB價值約73萬美元。

總結

本次攻擊事件核心是合約會為流動性池自動補充流動性，而未考慮代幣價格是否失衡的情況，從而導致項目方可能在價格高位對流動性進行補充，出現高價接盤的情況。

建議項目方在編寫項目時多加注意函數的邏輯實現，對可能遇到的多種攻擊情況進行考慮。

在此提醒項目方發布項目后一定要將私鑰嚴密保管，謹防網絡釣魚，另外，近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：SONSONARNARWBNBBart Simpson CoinSonarWatchRagnarokWBNB價格

DYDX