2022年5月21日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示, bDollar項目遭受價格操控攻擊,攻擊者獲利2381WBNB(價值約73萬美元)。成都鏈安技術團隊第一時間對事件進行了分析,結果如下。
#1 項目相關信息
成都鏈安:Li.Finance遭受攻擊事件分析:金色財經消息,據成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,DEX聚合協議Li.Finance遭黑客攻擊損失約60萬美元,關于本次攻擊,成都鏈安團隊第一時間進行了分析發現:被攻擊合約中的swapAndStartBridgeTokensViaCBridge函數中存在call注入攻擊,可通過構造惡意的數據(_swapData)控制call調用的參數。在本次攻擊事件中,攻擊者惡意構建callTo地址為對應的代幣合約地址,并調用代幣合約的transferFrom函數轉走受害地址的代幣。[2022/3/21 14:08:55]
由 Bearn.fi 提供的 bDollar 是幣安智能鏈上的第一個算法穩定幣,它可以確定性地調整其供應量,將代幣的價格向目標價格方向移動,從而為 DeFi 帶來可編程性和互操作性。
Grin社區發布節點異常簡報,Beam基金會負責人提醒Grin代碼分支可能遭受相同攻擊:Grin社區發布此前“GRIN節點出現異常”概述表示,Grin需要范圍驗證(rangeproofs),以確保負承諾值不會造成通脹情景。如果沒有范圍驗證,就有可能創建交易輸出,通過使用負值來人為地增加供給。如果沒有有效的范圍驗證來驗證輸出是否為負值,惡意行為者就有可能創建包含負值輸出以及高價值輸出的交易,這些高價值輸出似乎可以與“將創建0個新代幣”平衡。在本例中,攻擊者嘗試利用漏洞“RangeProof的緩存驗證優化中沒有充分的驗證”。Grin ++用戶在驗證中發現,并由Grin++開發人員David Burkett轉發給Grin團隊的其他成員,同時還提供了一個修復程序來緩解錯誤的rangeproof緩存邏輯。
Beam基金會負責人Guy Corem表示,多節點實現(multiple node implementation)拯救了此次惡意攻擊。有一些Grin代碼分支沒有節點實現,很可能遭受了完全相同的攻擊。
此前消息,Grin網絡在區塊高度1136081出現無效交易,原因是范圍驗證緩存邏輯錯誤。為此,Grin已經發布v5.0.4版本對此進行修復,用戶須進行更新。[2021/3/21 19:04:31]
#2 事件相關信息
加密借貸平臺BlockFi遭受大量濫用注冊的攻擊:3月10日消息,加密貨幣借貸平臺BlockFi在周日下午遭受了攻擊,攻擊者利用虛假簽約和辱罵性語言向該平臺發送了垃圾郵件。BlockFi的員工能夠在攻擊中很快識別出該事件,該事件涉及在帳戶注冊頁面上的“姓氏和姓氏”字段中使用“粗俗和種族主義”語言。根據報告,這些帳戶使用了1,000多個電子郵件地址進行了注冊,其中一半被確認為有效帳戶,并且屬于真實用戶。(Coindesk)[2021/3/10 18:32:40]
攻擊交易
0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4
比利時一年中遭受加密貨幣騙局損失近1000萬歐元:比利時金融服務與市場管理局(FSMA)近日透露,從2019年5月到2020年9月,比利時人在加密貨幣欺詐和騙局中損失了近1000萬歐元。FSMA表示:“這些平臺通常使用非常激進的方法來說服用戶投資更大的資金。他們還將嘗試說服用戶讓他們遠程控制你的計算機,以便能夠進行某些付款。”FSMA已經在2018年向用戶通報了潛在的加密貨幣欺詐和活動。自那之后,詐騙份子又在其“投資產品”清單上增加了虛假信用證明。FSMA說,這些人聲稱以優惠條件提供貸款,但實際意圖是竊取資金。(Cryptopotato)[2020/10/11]
攻擊者地址
0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e
攻擊合約
0x6877f0d7815b0389396454c58b2118acd0abb79a
被攻擊合約
0xeaDa3d1CCBBb1c6B4C40a16D34F64cb0df0225Fd
1、通過閃電貸借出670WBNB。
2、 將其分成多份分別轉入到WBNB/BDO、BUSD/BDO等多個池子進行兌換,拉高BDO的價格。
3、攻擊者接著借出30,516 cake用于后續攻擊:調用DAO Fund合約中的claimAndReinvestFromPancakePool函數,該函數將cake兌換成400個wbnb,且觸發了200WBNB兌換BDO,然而最后會調用_addLiquidity,用合約中的WBNB去添加流動性。此時由于BDO價格很高,導致添加流動性時需要使用項目方合約中大量的WBNB,相當于項目方高位接盤。
4、最后攻擊者通過pancake兌換出WBNB,歸還閃電貸,獲利2381 WBNB。
本次攻擊主要利用了DAO fund代理合約CommunityFund中claimAndReinvestFromPancakePool函數在添加流動性時的設計漏洞,未充分考慮到價格被惡意拉高后,項目方會在添加流動性時,用自己合約內的資金被動高位接盤的情況。
截止發文時,被盜資金還未被攻擊者轉出,仍存在攻擊合約中:0x6877F0D7815b0389396454C58b2118ACD0aBB79A。
針對本次事件,成都鏈安技術團隊建議:
1、合約在設計時應充分考慮可能遇到的攻擊,盡量完善其安全設計;
2、項目上線前,建議選擇專業的安全審計公司進行全面的安全審計,規避安全風險。
Tags:RINGRIGRINBNBPRINTCryptegrity DAOBitgrintogetherbnb游戲官網
2021年底,一個DAO--一個去中心化的自治組織--花費400萬美元購買了Wu-Tang Clan專輯的唯一現存副本.
1900/1/1 0:00:00印度國家軟件和服務公司協會(Nasscom)發布了一份報告,呼吁應該加強對于加密貨幣領域的監管.
1900/1/1 0:00:00伊朗的加密法規在拖延數月的壓力下,伊朗央行(Central Bank of Iran)終于在1月底發布了一份加密貨幣合法性框架草案,并歡迎各方反饋意見.
1900/1/1 0:00:003.8 億美元,這是一個名為 Swerve 的新項目在不到 12 小時的時間里獲得的資金!Swerve Finance 是 Curve Finance 的一個分叉,后者是一個去中心化交易平臺.
1900/1/1 0:00:002022 年 1 月 28 日,一大早醒來就看見 ps 那邊預警了 Qubit Finance 被黑了。有點慘,這是印象中 pancake bunny 項目不知道第幾次被黑了(這里默哀。。).
1900/1/1 0:00:00在綜合判斷安全性和收益率的情況下,推薦一些不同公鏈上的流動性挖礦機會。加密市場跟隨外部變化的趨勢越來越明顯,在外部環境不穩定的情況下,市場表現不佳,穩定幣理財成為更多人的需求.
1900/1/1 0:00:00