北京時間2022年4月24日下午4時33分,CertiK審計團隊監測到WienerDOGE項目被惡意利用,造成了3萬美元的損失。攻擊者利用WDODGE的收費機制和交換池之間的不一致,發起了攻擊。
事件發生的根本原因是:通過緊縮的代幣合約造成發送方的LP對沒有被排除在轉賬費用之外。因此,攻擊者能夠將LP對中的通貨緊縮代幣耗盡,進而導致貨幣對價格失衡。
而隨后于同一天內接連發生了另外三起惡意利用:
Avalanche將舉行首屆亞洲黑客馬拉松,獎金超過500萬美元:1月24日消息,Avalanche雪崩協議宣布將在2月1日正式開啟首屆亞洲黑客馬拉松活動,獎金池由AVATAR(Avalanche Asia Star Fund)、Blizzard Fund及行業上下游超過20多家機構提供,總計超過500萬美元。同時部分贊助商及Avalaunch、Colony、BenQi等機構將作為評審支持。此次黑客馬拉松旨在鼓勵開發者探索Avalanche,包括DeFi、Web3、Metaverse、NFT、Gamefi等所有領域,全球各地項目均可參與。
DoraHacks是一個全球黑客馬拉松組織,也是最活躍的Web3開發者社區之一。Avalanche雪崩協議是一個開發者友好、可定制化、安全可靠的高性能公鏈。[2022/1/24 9:10:07]
下午6時20分,LastKilometer項目被閃電貸攻擊利用,造成了26495美元的損失;
DeFi協議Bogged Finance發布BOG重啟時間表,此前遭黑客攻擊:官方消息,DeFi協議Bogged Finance發布BOG重啟時間表,5月31日05:00之前,必須提交所有空投爭議;6月1日05:00預啟動質押和開始申領;6月2日05:00正式啟動,開啟BOG交易。
此前消息,DeFi協議Bogged Finance官方表示,黑客對BOG代幣合約的質押漏洞進行了閃電貸攻擊,目前已禁用交易費。[2021/5/30 22:57:12]
晚上9時45分,Medamon項目被閃存貸攻擊利用,造成3159美元的損失;
白帽黑客在上個月對Coincheck交換的調查中起到了重要作用:社區成員幫助追蹤了從東京交易所偷來的5.38億美元NEM加密貨幣。道德黑客協助當局,并鼓勵其他人參與提供援助。JK17和Hamabe在Twitter上的一頂著名的白色帽子,成功地識別出被盜的錢是在入侵后不久被發送的。這些信息是與NEM基金會共享的,這些賬戶已經被標記出來,目前正在受到監控。這些資金現在已經被轉移到400多個賬戶中,其中一些被無辜的持有者所擁有,這似乎是一種混淆追蹤者的嘗試。[2018/2/22]
緊接著,PI-DAO項目被閃存貸攻擊利用,造成了6445美元的損失。
日本區塊鏈推進協會代表理事:Coincheck的黑客事件并不能說明虛擬貨幣的技術有問題:日本區塊鏈推進協會代表理事平野洋一郎:Coincheck的黑客事件并不能說明虛擬貨幣的技術有問題,技術的價值是不變的。目前吸引公眾眼球的是虛擬貨幣的“存儲價值”,但是由于其價格波動劇烈,難以為企業所使用。正是如此,我們想要創造沒有存儲價值的虛擬貨幣,來使虛擬貨幣原本的價值健全化,并且普及。[2018/2/12]
這一系列攻擊的攻擊者與攻擊方法,與同一天早些時候發生的WienerDOGE相同。
攻擊步驟
①攻擊者通過閃電貸獲得了2900枚BNB。
②攻擊者將2900枚BNB換成了6,638,066,501,83枚WDOGE。
●LP的狀態:
○WdogE:199,177,850,468
○WBNB:2978
③將5,974,259,851,654枚WDOGE發送到LP,由于WDOGE比BNB多,所以LP現在處于不平衡狀態。
●LP的狀態:
○WDOGE:5,178,624,112,169
○WBNB:2978
④調用skim()函數,從LP中取回4,979,446,261,701枚WDOGE。由于攻擊者在調用skim()之前發送了大量的WDOGE,所以LP將支付大量的費用。這一操作清空了LP內的WDOGE的數量。
攻擊者還調用可sync()函數來更新LP內的儲備值。若干枚WDOGE和2978枚BNB的存在,造成了WDOGE的價格與WBNB相比異常昂貴。
⑤最后,攻擊者用剩下的WDOGE換回了2978枚BNB,償還了閃電貸,賺取了78枚BNB。
而其他幾個項目被攻擊的流程步驟也相似:
閃電貸取得WBNB,并用WBNB換取LP中的通縮代幣;
直接將通縮的代幣轉移到LP對上;
調用skim()函數,迫使LP對輸回通縮代幣;
由于轉讓費的存在,攻擊者會重復步驟2~3,將LP對中的通縮代幣耗盡;
通過LP對中的價格不平衡來獲取利潤。
漏洞分析
當用戶轉移一定數量的WDOGE時,除了費用,還有4%的代幣將被銷毀。
因此,如果LP發送100枚WDOGE,其余額將減少104枚WDOGE。
所以,LP應該被排除在費用和代幣銷毀之外。
資產去向
寫在最后
如果同時對代幣和LP合約進行審計,這一風險因素就可以被發現。
然而,如果只有代幣合約被審計,那么交換機制將被視為一個外部依賴。
而這種情況在審計過程中將會指出第三方依賴風險。具體為:如果是代幣合約,CertiK審計專家將會與項目方討論,確認是否需要除去LP對的手續費;如果是LP對方的合約,CertiK審計專家會提出通縮幣的討論,并且提醒項目方可能存在的風險。
烏克蘭當地時間2月26日下午,政府官方Twitter賬號發布消息:“與烏克蘭人民站在一起。現在接受加密貨幣捐贈,包括比特幣、以太坊和USDT.
1900/1/1 0:00:00Polkadot生態研究院出品,必屬精品 背景 2022年3月4日,a16z加碼去中心化Staking解決方案LidoFinance,投資7000萬美元.
1900/1/1 0:00:00Qredo很難定義。它是基于兩個經常被誤解的密碼學突破的一系列創新:區塊鏈和多方計算(MPC)。為了提煉這種復雜性并使其更易于消化,人們經常使用類比來將Qredo與更熟悉的概念進行比較.
1900/1/1 0:00:00Polkadot生態研究院出品,必屬精品 背景 2016年,GavinWood出走以太坊后,寫下了波卡白皮書.
1900/1/1 0:00:002021年,數字資產市場快速擴張,總價值飆升至超過2萬億美元。然而,同年,犯罪分子利用監管弱點從不斷擴大的生態系統中吸走了創紀錄的140億美元.
1900/1/1 0:00:00什么是GameFi 由于區塊鏈技術的興起,金融方面從未像現在這樣與游戲行業交織在一起。區塊鏈游戲也被稱為去中心化游戲,即GameFi——Game+DeFI.
1900/1/1 0:00:00