北京時間2022年4月24日下午4時33分,CertiK審計團隊監測到Wiener?DOGE項目被惡意利用,造成了3萬美元的損失。攻擊者利用WDODGE的收費機制和交換池之間的不一致,發起了攻擊。
事件發生的根本原因是:通過緊縮的代幣合約造成發送方的LP對沒有被排除在轉賬費用之外。因此,攻擊者能夠將LP對中的通貨緊縮代幣耗盡,進而導致貨幣對價格失衡。
而隨后于同一天內接連發生了另外三起惡意利用:
下午6時20分,LastKilometer項目被閃電貸攻擊利用,造成了26495美元的損失;
Animoca Brands和LayerZero推出全球黑客之家計劃:金色財經報道,Animoca Brands和全鏈互操作性協議LayerZero聯合??推出LayerZero-Animoca Brands Hackerhouse計劃,旨在推進跨鏈標準并展示可互操作數字資產的真實用例。Hackerhouse是一項全球倡議,旨在每年在主要城市組織活動,其主要目標是聚集對omnichain未來充滿熱情的開發人員、項目和公司,以概念化和構建概念驗證,以推動跨鏈技術的發展。
據悉,在Zellic、OtterSec、Brinc和Cyber??port等生態系統合作伙伴的支持下,Hackerhouse首站于2022年12月12日在香港成功舉辦。[2022/12/21 21:58:04]
晚上9時45分,Medamon項目被閃存貸攻擊利用,造成3159美元的損失;
NFT平臺AxieInfinity疑似遭遇黑客攻擊:據BitcoinMemeHub爆料,NFT平臺AxieInfinity遭遇黑客攻擊,采用的攻擊手段是復雜的Crtl+S。(嗶嗶News)[2020/9/28]
緊接著,PI-DAO項目被閃存貸攻擊利用,造成了6445美元的損失。
這一系列攻擊的攻擊者與攻擊方法,與同一天早些時候發生的WienerDOGE相同。
攻擊步驟
①攻擊者通過閃電貸獲得了2900枚BNB。
②攻擊者將2900枚BNB換成了6,638,066,501,83枚WDOGE。
技術人員稱發現Lightning Network系統自動抵御黑客竊取事件:俄羅斯數字貨幣社群Bitkoyn上的技術人員稱發現了一起Lightning Network系統抵御黑客攻擊的事件,黑客發送了一些資金試圖打開Lightning Network頻道并破解,但系統將其視為犯罪行為并關閉了渠道,將所有資金發送到了另一個節點,使黑客失去了發送的資金。另一位技術人員則稱這是由于一個意外的錯誤而引發的。目前技術人員正在探索如何利用這次的意外完善Lightning Network的系統通道自動封閉。[2018/3/27]
●LP的狀態:
??○WdogE:199,177,850,468
??○WBNB:2978
③將5,974,259,851,654枚WDOGE發送到LP,由于WDOGE比BNB多,所以LP現在處于不平衡狀態。
●LP的狀態:
??○?WDOGE:5,178,624,112,169
??○?WBNB:2978
④調用skim()函數,從LP中取回4,979,446,261,701枚WDOGE。由于攻擊者在調用skim()之前發送了大量的WDOGE,所以LP將支付大量的費用。這一操作清空了LP內的WDOGE的數量。
攻擊者還調用可sync()函數來更新LP內的儲備值。若干枚WDOGE和2978枚BNB的存在,造成了WDOGE的價格與WBNB相比異常昂貴。
⑤最后,攻擊者用剩下的WDOGE換回了2978枚BNB,償還了閃電貸,賺取了78枚BNB。
而其他幾個項目被攻擊的流程步驟也相似:
閃電貸取得WBNB,并用WBNB換取LP中的通縮代幣;
直接將通縮的代幣轉移到LP對上;
調用skim()函數,迫使LP對輸回通縮代幣;
由于轉讓費的存在,攻擊者會重復步驟2~3,將LP對中的通縮代幣耗盡;
通過LP對中的價格不平衡來獲取利潤。
漏洞分析
當用戶轉移一定數量的WDOGE時,除了費用,還有4%的代幣將被銷毀。
因此,如果LP發送100枚WDOGE,其余額將減少104枚WDOGE。
所以,LP應該被排除在費用和代幣銷毀之外。
寫在最后
如果同時對代幣和LP合約進行審計,這一風險因素就可以被發現。
然而,如果只有代幣合約被審計,那么交換機制將被視為一個外部依賴。
而這種情況在審計過程中將會指出第三方依賴風險。具體為:如果是代幣合約,CertiK審計專家將會與項目方討論,確認是否需要除去LP對的手續費;如果是LP對方的合約,CertiK審計專家會提出通縮幣的討論,并且提醒項目方可能存在的風險。
Tags:DOGDOGEWDOWDOGDOGMSK價格INFINITYDOGE價格wdo幣市場價是多towdogecoin
DearKuCoinUsers,KuCoinisextremelyproudtoannounceyetanothergreatprojectcomingtoourtradingplatform.
1900/1/1 0:00:00親愛的大幣網(Dcoin)用戶:LUNA將上線大幣網(Dcoin),具體時間安排如下,邀請您體驗!4月27日15:00(GMT8)開放充值4月28日15:00(GMT8)LUNA/USDT4月2.
1900/1/1 0:00:00金色財經報道,印度尼西亞銀行和國際清算銀行(BIS)創新中心正在邀請開發人員參加中央銀行數字貨幣黑客馬拉松.
1900/1/1 0:00:00親愛的ZT用戶: ZT創新板即將上線BORA,並開啟BORA/USDT交易對。具體上線時間如下:交易:2022年4月25日18:00; BORA 項目簡介:BORA項目旨在開發壹個綜合遊戲/內容.
1900/1/1 0:00:00尊敬的XT.COM用戶:經平臺評估後,XT.COM將於2022年4月26日07:00恢復METIS/USDT交易.
1900/1/1 0:00:00尊敬的用戶:因服務器臨時通信故障造成部分交易對K線顯示異常,目前故障已排除,現K線顯示已恢復正常.
1900/1/1 0:00:00