以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

黑客四連擊,近期項目被攻擊事件分析-ODAILY_DOGE:WDO

Author:

Time:1900/1/1 0:00:00

北京時間2022年4月24日下午4時33分,CertiK審計團隊監測到WienerDOGE項目被惡意利用,造成了3萬美元的損失。攻擊者利用WDODGE的收費機制和交換池之間的不一致,發起了攻擊。

事件發生的根本原因是:通過緊縮的代幣合約造成發送方的LP對沒有被排除在轉賬費用之外。因此,攻擊者能夠將LP對中的通貨緊縮代幣耗盡,進而導致貨幣對價格失衡。

而隨后于同一天內接連發生了另外三起惡意利用:

Avalanche將舉行首屆亞洲黑客馬拉松,獎金超過500萬美元:1月24日消息,Avalanche雪崩協議宣布將在2月1日正式開啟首屆亞洲黑客馬拉松活動,獎金池由AVATAR(Avalanche Asia Star Fund)、Blizzard Fund及行業上下游超過20多家機構提供,總計超過500萬美元。同時部分贊助商及Avalaunch、Colony、BenQi等機構將作為評審支持。此次黑客馬拉松旨在鼓勵開發者探索Avalanche,包括DeFi、Web3、Metaverse、NFT、Gamefi等所有領域,全球各地項目均可參與。

DoraHacks是一個全球黑客馬拉松組織,也是最活躍的Web3開發者社區之一。Avalanche雪崩協議是一個開發者友好、可定制化、安全可靠的高性能公鏈。[2022/1/24 9:10:07]

下午6時20分,LastKilometer項目被閃電貸攻擊利用,造成了26495美元的損失;

DeFi協議Bogged Finance發布BOG重啟時間表,此前遭黑客攻擊:官方消息,DeFi協議Bogged Finance發布BOG重啟時間表,5月31日05:00之前,必須提交所有空投爭議;6月1日05:00預啟動質押和開始申領;6月2日05:00正式啟動,開啟BOG交易。

此前消息,DeFi協議Bogged Finance官方表示,黑客對BOG代幣合約的質押漏洞進行了閃電貸攻擊,目前已禁用交易費。[2021/5/30 22:57:12]

晚上9時45分,Medamon項目被閃存貸攻擊利用,造成3159美元的損失;

白帽黑客在上個月對Coincheck交換的調查中起到了重要作用:社區成員幫助追蹤了從東京交易所偷來的5.38億美元NEM加密貨幣。道德黑客協助當局,并鼓勵其他人參與提供援助。JK17和Hamabe在Twitter上的一頂著名的白色帽子,成功地識別出被盜的錢是在入侵后不久被發送的。這些信息是與NEM基金會共享的,這些賬戶已經被標記出來,目前正在受到監控。這些資金現在已經被轉移到400多個賬戶中,其中一些被無辜的持有者所擁有,這似乎是一種混淆追蹤者的嘗試。[2018/2/22]

緊接著,PI-DAO項目被閃存貸攻擊利用,造成了6445美元的損失。

日本區塊鏈推進協會代表理事:Coincheck的黑客事件并不能說明虛擬貨幣的技術有問題:日本區塊鏈推進協會代表理事平野洋一郎:Coincheck的黑客事件并不能說明虛擬貨幣的技術有問題,技術的價值是不變的。目前吸引公眾眼球的是虛擬貨幣的“存儲價值”,但是由于其價格波動劇烈,難以為企業所使用。正是如此,我們想要創造沒有存儲價值的虛擬貨幣,來使虛擬貨幣原本的價值健全化,并且普及。[2018/2/12]

這一系列攻擊的攻擊者與攻擊方法,與同一天早些時候發生的WienerDOGE相同。

攻擊步驟

①攻擊者通過閃電貸獲得了2900枚BNB。

②攻擊者將2900枚BNB換成了6,638,066,501,83枚WDOGE。

●LP的狀態:

○WdogE:199,177,850,468

○WBNB:2978

③將5,974,259,851,654枚WDOGE發送到LP,由于WDOGE比BNB多,所以LP現在處于不平衡狀態。

●LP的狀態:

○WDOGE:5,178,624,112,169

○WBNB:2978

④調用skim()函數,從LP中取回4,979,446,261,701枚WDOGE。由于攻擊者在調用skim()之前發送了大量的WDOGE,所以LP將支付大量的費用。這一操作清空了LP內的WDOGE的數量。

攻擊者還調用可sync()函數來更新LP內的儲備值。若干枚WDOGE和2978枚BNB的存在,造成了WDOGE的價格與WBNB相比異常昂貴。

⑤最后,攻擊者用剩下的WDOGE換回了2978枚BNB,償還了閃電貸,賺取了78枚BNB。

而其他幾個項目被攻擊的流程步驟也相似:

閃電貸取得WBNB,并用WBNB換取LP中的通縮代幣;

直接將通縮的代幣轉移到LP對上;

調用skim()函數,迫使LP對輸回通縮代幣;

由于轉讓費的存在,攻擊者會重復步驟2~3,將LP對中的通縮代幣耗盡;

通過LP對中的價格不平衡來獲取利潤。

漏洞分析

當用戶轉移一定數量的WDOGE時,除了費用,還有4%的代幣將被銷毀。

因此,如果LP發送100枚WDOGE,其余額將減少104枚WDOGE。

所以,LP應該被排除在費用和代幣銷毀之外。

資產去向

寫在最后

如果同時對代幣和LP合約進行審計,這一風險因素就可以被發現。

然而,如果只有代幣合約被審計,那么交換機制將被視為一個外部依賴。

而這種情況在審計過程中將會指出第三方依賴風險。具體為:如果是代幣合約,CertiK審計專家將會與項目方討論,確認是否需要除去LP對的手續費;如果是LP對方的合約,CertiK審計專家會提出通縮幣的討論,并且提醒項目方可能存在的風險。

Tags:DOGDOGEWDOWDOGTOYDOGE價格Kill Dogewdo幣今日價格NEWDOGE

pepe最新價格
警惕烏克蘭數字貨幣捐助地址造假-ODAILY_以太坊:比特幣和BNB什么關系

烏克蘭當地時間2月26日下午,政府官方Twitter賬號發布消息:“與烏克蘭人民站在一起。現在接受加密貨幣捐贈,包括比特幣、以太坊和USDT.

1900/1/1 0:00:00
Staking經濟大受關注,波卡生態會激起怎樣的浪花? -ODAILY_STAK:Staking

Polkadot生態研究院出品,必屬精品 背景 2022年3月4日,a16z加碼去中心化Staking解決方案LidoFinance,投資7000萬美元.

1900/1/1 0:00:00
談論QREDO,來自社區的5個類比-ODAILY_Qredo:Redlight Chain

Qredo很難定義。它是基于兩個經常被誤解的密碼學突破的一系列創新:區塊鏈和多方計算(MPC)。為了提煉這種復雜性并使其更易于消化,人們經常使用類比來將Qredo與更熟悉的概念進行比較.

1900/1/1 0:00:00
詳細解讀外界對波卡的10大誤解-ODAILY_DOT:OSM

Polkadot生態研究院出品,必屬精品 背景 2016年,GavinWood出走以太坊后,寫下了波卡白皮書.

1900/1/1 0:00:00
如何托管數字資產-ODAILY_數字資產:MPC

2021年,數字資產市場快速擴張,總價值飆升至超過2萬億美元。然而,同年,犯罪分子利用監管弱點從不斷擴大的生態系統中吸走了創紀錄的140億美元.

1900/1/1 0:00:00
一覽GameFi前世今生及項目核心-ODAILY_GAME:DarkShield Games Studio

什么是GameFi 由于區塊鏈技術的興起,金融方面從未像現在這樣與游戲行業交織在一起。區塊鏈游戲也被稱為去中心化游戲,即GameFi——Game+DeFI.

1900/1/1 0:00:00
ads