北京時間2022年9月5日,CertiK審計團隊監測到Daoswap由于挖礦獎勵大于交換過程中收取的費用以及缺乏驗證,允許用戶將邀請者地址設置為自己,在一次攻擊中損失了58萬USDT。
攻擊步驟
①攻擊者合約從12個地址中共閃電貸到了218萬美元。
②攻擊者合約使用DAORouter將所有閃電貸到的USDT交換為DAO代幣。在交換過程中,攻擊者合約以兩種方式從SwapToEarn獲得DAO代幣作為獎勵:
a.?代幣獎勵:這是為換取代幣的用戶準備的。
b.?邀請者獎勵:攻擊者在調用函數時可以任意設置一個“邀請者”地址,相當于推薦人也可以獲取獎勵。在這種情況下,攻擊者合約將邀請者地址設置為自己。
數據:4月份至今NFT市場的賣家一直多于買家:4月27日消息,NFTGo 數據顯示,4 月份至今,NFT 市場的賣家一直多于買家,其中 4 月 26 日有 7,907 名買家和 8,641 名賣家。此外 4 月 19 日 NFT 市場創下過去 12 個月以來的買家數量第二低,只有 5,893 名買家,僅次于 2022 年 6 月 18 日的 5,343 名買家。[2023/4/27 14:30:35]
③攻擊者合約用同樣的方法將所有DAO代幣換回USDT,再次獲得這兩種獎勵。
④攻擊者合約多次重復步驟②和③。因為攻擊者收到了DAO代幣作為獎勵,所以他每次都能獲得更多的USDT。
⑤攻擊者合約償還了所有借貸資金,并將剩余的USDT金額轉移給攻擊者。
區塊鏈公司Alpha Transform Holdings將推出兩只資管規模總額1億美元的基金:金色財經報道,Transform Ventures投資了一家新的控股公司,名為Alpha Transform Holdings(ATH),以加速區塊鏈投資和創新。
據了解,ATH是通過合并Transform Ventures和Alpha Sigma Capital母公司的部分資產而創建的,并將推出兩只資管規模總額1億美元的基金,分別是Alpha Liquid數字資產基金和Aegean基金。ATH的三個重點領域包括提供資產管理產品套件、Alpha Transform產品和Alpha Transform戰略。(Cointelegraph)[2023/3/8 12:50:13]
合約漏洞
鉆石代幣化公司Diamond Standard完成3000萬美元融資:9月14日消息,鉆石代幣化公司Diamond Standard完成3000萬美元A輪融資,Left Lane與Horizo??n Kinetics領投。本輪融資將用于擴大生產能力并加速其代幣化產品的分銷。Diamond Standard此前已在百慕大獲得數字資產發行、出售和贖回的資質,可以為散戶和機構投資者提供以鉆石為底層資產的,基于以太坊發行的代幣。[2022/9/14 13:29:48]
DAOSwap包含一個“swap-mining”的獎勵,其實現方式如下。
DeFi支付服務提供商Spritz Finance完成250萬美元pre-seed輪融資:5月25日消息,DeFi 支付服務提供商 Spritz Finance 宣布完成 250 萬美元 pre-seed 輪融資,本輪融資 Ledger Prime、OrangeDAO、Shima Ventures、DCG Genesis、Awesome People Ventures 等參投,天使投資人包括 Polygon 聯合創始人 Sandeep Nailwal、前 Coinbase 首席技術官 Balaji Srinivasan 、前 Y Combinator 金融科技合伙人 Aaron Harris。融資將用于擴大團隊,進一步開發產品。
據悉,Spritz Finance 已完成加密支付集成并支持跨鏈支付,用戶無需借助銀行即可直接通過 DeFi 協議完成賬單和其他服務的支付交易。[2022/5/25 3:39:38]
在函數_swap中調換之后,可調用SwapToEarn.sol中的函數swapCall。
在函數swapCall中,DAO代幣被轉移給用戶和邀請者,二者的地址都是通過參數傳遞的。
當函數在_swap中被調用時,我們可以看到用戶被設置為信息發送者msg.sender,而邀請者則來自于輸入參數。
邀請者地址可以是任何地址,因為這個地址沒有設置檢查。攻擊者能夠將邀請者設為自己,并得到了額外的獎勵。
值得注意的是,攻擊者作為邀請者得到的獎勵約占總獎勵的20%。即使不允許攻擊者將邀請人地址設置為自己,攻擊者仍然可以從交易中獲利。
6次交易的總利潤約為581,254USDT。
相關交易
交易①:
https://bscscan.com/tx/0x414462f2aa63f371fbcf3c8df46b9a64ab64085ac0ab48900f675acd63931f23?
交易②:?https://bscscan.com/tx/0x6c859ae624002e07dac39cbc5efef76133f8af5d5a4e0c42ef85e47d51f82ae0?
交易③:
https://bscscan.com/tx/0x3b1d631542eb91b5734e3305be54f305f26ab291b33c8017a73dcca5b0c32a1b?
交易④:?https://bscscan.com/tx/0xa7fdefcd80ba54d2e8dd1ab260495dca547993019d90f7885819bb4670b65bad?
交易⑤:
https://bscscan.com/tx/0xf1368418344e21a1a09a2c1770ea301bf109ca3b387a59a79242a27d709195a7?
交易⑥:
https://bscscan.com/tx/0x8eb87423f2d021e3acbe35c07875d1d1b30ab6dff14574a3f71f138c432a40ef?
寫在最后
攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會持續于官方公眾號發布與項目預警相關的信息。
CertiK的端到端安全解決方案,從智能合約審計和KYC項目背景調查服務,到Skynet天網動態掃描系統和SkyTrace等區塊鏈分析工具,以及漏洞賞金計劃,助力每一個項目充分發揮潛力的同時為Web3.0打造用戶和投資者高參與的生態系統。
Tags:DAOSWAPCOMTRAmahadao幣最新消息Single Dog Swap Tokencomp幣價格今日行情MTRA
AnimocaBrands累計投資超過150個NFT和元宇宙項目,包括TheSandbox、OpenSea、DapperLabs和SkyMavis等.
1900/1/1 0:00:00自2022年初以來,各互聯網大廠紛紛曝出裁員消息,3月,騰訊爆出裁員消息,裁員涉及騰訊的平臺與內容事業群和云與智慧產業事業群,相關部門裁員比例高達30%;阿里巴巴宣布裁員.
1900/1/1 0:00:00為了最大限度利用元宇宙給教學帶來的優勢,學校和學生將需要應對隱私、培訓成本以及國家對寬帶網絡的投資水平等帶來的挑戰.
1900/1/1 0:00:00作者:周舟 “我們要制定Web3的國際規則,不然幾十年后子孫輩們就會像現在一樣被人掐脖子。”一名正在參與制定國內區塊鏈技術標準的人員表示.
1900/1/1 0:00:007:00-12:00關鍵詞:V神、BadGuys、OpenSea、知信鏈、元宇宙市場1.V神:自己對以太坊網絡的影響力正在下降.
1900/1/1 0:00:00在某種程度上,藍籌鉆石手不僅是行業的早期玩家,也是牛熊轉換中的信仰者。原文標題:《你需要關注的那些BAYC鉆石手》 撰文:NFTGo 如今,認識并交易BAYC的人越來越多.
1900/1/1 0:00:00