事件背景
北京時間7月20日,有消息稱Sanshu項目方旗下的Memestake項目遭受閃電貸攻擊,損失高達10余萬美金。知道創宇區塊鏈安全實驗室對此事件展開復盤分析。
事件跟蹤
攻擊時間:2021-07-2019:23:20攻擊者地址:0x0333E323E61aa8aFA38A1623604A165dCB9F4fEC攻擊交易哈希:a):https://etherscan.io/tx/0x628174eccf05e94a3385f882805124b5d8718a0c9906c6cd0c573e5d6f56c9d2
Memeland公布MEME代幣空投數量,總計172.5億枚:金色財經報道,NFT項目Memeland在官推公布了MEME代幣空投數量,總計172.5億枚,可與MVP、Captainz和Potatoz一起存儲。不過,Memeland沒有披露空投即時解鎖的代幣數量比例、以及后續待解鎖的比例。[2023/7/20 11:06:18]
b):https://etherscan.io/tx/0x00edd68087ee372a1b6e05249cc6c992bb7b8478cc0ddc70c2a1453428285808
NFT項目Memeland將推出全新節目“GmShow”,目前已購入“gmshow.com”域名:金色財經報道,NFT項目Memeland在社交媒體宣布將推出全新節目“GmShow”,目前尚不清楚該節目何時首播,形式如何,甚至節目的時間安排是什么(考慮到9GAG首席執行官Ray Chan目前身處亞洲,可能存在時差問題)。Memeland早間節目將使其繼續擴大其品牌并進一步擴大影響力,因為@9GAG目前擁有1690萬推特粉絲和約2億月訪問用戶。此外,Memeland目前已購入“gmshow.com”域名,后續可能會基于此構建其他SocialFi產品。[2023/4/15 14:05:39]
約4.97萬億枚Token銷毀提案獲批后,Meme項目FLOKI漲超19%:1月30日消息,基于BNB區塊鏈的Meme項目FLOKI Token銷毀提案已獲得批準,該提案計劃在2月9日執行Token銷毀操作,總計約4.97萬億枚FLOKI,價值約合5500萬美元。
此外,FLOKI社區還通過了另一項提案,將交易稅率從3%降至0.3%,并將于2月3日執行。或受此消息影響,FLOKI價格在過去24小時內漲超19%,現報價0.00002366美元,過去7天漲幅達到98.6%。[2023/1/30 11:36:31]
c):https://etherscan.io/tx/0xa945b1857630e730bd3fac6459c82dee44da45e35cfbbd6dfb7b42146e8dde41
幣贏CoinW平臺DeFi幣種 MEME領漲:據幣贏行情數據顯示,截止今日10:00(GMT+8),平臺內DeFi幣種今日MEME領漲,今日漲幅為35.09%,現價441.1986USDT;DIP今日漲幅24.18%,現價0.0322USDT;SPA今日漲幅18.48%,現價0.0110USDT;MINI今日漲幅為17.6%,現價0.0532USDT。風險提示:近期行情波動較大,請注意控制風險[2020/9/17]
事件分析
如上圖所示,攻擊者按照攻擊交易a->b->c流程發起攻擊并獲得收益離場,攻擊復盤如下:
1.如a交易所示,攻擊者先從uniswap中用weth兌換2091514065454個KEANU代幣并抵押到Memestake合約(0x35C674C288577Df3e9b5dafEF945795b741c7810)中。2.如b交易所示,攻擊者再利用閃電貸借取KEANU代幣,并不斷調用Memestake合約的deposit和withdraw函數用以消耗Memestake合約的KEANU代幣,而這里就是漏洞的利用點:KEANU代幣為通縮模型代幣,即每筆交易會扣除2%的代幣用于給其他持幣用戶分紅。
但是Memestake中deposit和withdraw函數記錄的都是轉賬發起者所支付的值,即用戶抵押100個KEANU代幣,實際到賬合約的只有98個KEANU代幣,但是提取的時候還是歸還給用戶100個KEANU代幣,所以隨著攻擊者不停的抵押提取,合約的KEANU代幣余額就越來越小。
當合約的KEANU代幣余額變少時,影響了單位KEANU代幣可兌換的MFUND代幣數量(accMfundPerShare變量),即攻擊者可以獲得第一步抵押KEANU代幣抵押所產生的巨額獎勵MFUND代幣。
3.如c交易所示,攻擊者調用withdraw函數取出第一步抵押產生的MFUND代幣,并歸還第二步閃電貸借用的KEANU代幣,并將巨額的MFUND代幣再swap成WETH和SANSHU代幣套利離場。
事件總結
本次閃電貸的攻擊主要利用的還是通縮模型代幣與傳統挖礦合約邏輯不匹配導致的結果,項目方沒有充分考慮到通縮模型帶來的代幣分紅損失,導致了挖礦合約的代幣余額越來越少,最終釀成了超額鑄造了獎勵代幣MFUND的錯誤。
根據銀保監會等五部門發布的《關于防范以“虛擬貨幣”“區塊鏈”名義進行非法集資的風險提示》,請讀者遵守所在地區法律法規,本文內容報道不對任何經營與投資活動推廣進行背書,請投資者提高風險防范意識.
1900/1/1 0:00:00Karura作為Acala的「金絲雀實驗網絡」,是早期發布的高可用、真實賦予跨鏈價值的實驗性版本,與Kusama相似先行網屬性被賦予了更多想象力,Karura網絡已成為平行鏈接入Kusama.
1900/1/1 0:00:00對于同一事物的態度往往取決于當事人所處的立場,波動性也不例外,有人喜歡,也有人討厭。例如,專業交易者與長期投資者對于波動的態度就不一樣.
1900/1/1 0:00:00在長時間負面情緒和持續陰跌之后,比特幣近期走出了一波反彈行情,觸碰震蕩箱體上軌和下壓線阻力位之后出現了回落.
1900/1/1 0:00:00你可以寫一個小程序,你提供屏蔽后的數據,比如我的屏蔽后的年齡、屏蔽后的生日、屏蔽后的籍貫,然后這個程序會給你一個“是/否”的答案,比如這個值是否高于某個限制,是否低于某個限制,是否在某個區間內.
1900/1/1 0:00:00本文將探討: a)我們如何辨別MicroStrategy(MSTR)的價值,這是一家在加密貨幣領域處于獨特情況的公司,以及價值投資者如何運作的基礎知識.
1900/1/1 0:00:00