黑客四連擊：Wiener DOGE, Last Kilometer, Medamon以及PIDAO項目被攻擊事件分析_DOGE:WDO

據CertiK安全團隊監測，,WienerDOGE項目于北京時間2022年4月24日下午4時33分被惡意利用，造成了3萬美元的損失。攻擊者利用WDODGE的收費機制和交換池之間的不一致，發起了攻擊。

事件發生的根本原因是：通過緊縮的代幣合約造成發送方的LP對沒有被排除在轉賬費用之外。因此，攻擊者能夠將LP對中的通貨緊縮代幣耗盡，進而導致貨幣對價格失衡。

而隨后于同一天接連發生了另外三起惡意利用：

同天下午6時20分，LastKilometer項目被閃電貸攻擊利用，造成了26495美元的損失；

加密交易所Liquid因去年11月黑客入侵或已泄漏2萬余個用戶信息:日本加密交易所Liquid今日公布針對去年11月因遭入侵而用戶數據泄漏的最終調查結果。Liquid表示，包括電子郵件地址，名稱，加密密碼，API密鑰等169,782項用戶數據信息已泄漏。其中，可能被非法訪問的個人信息是在2018年10月之前進行KYC過程的用戶，例如用戶身份證，自拍圖片，住址證明等本人確認文件28,639個。此前報道，去年11月13日加密交易所Liquid發生入侵事件，用戶數據或因安全漏洞而暴露。（Jp.cointelegraph）[2021/1/20 16:36:52]

同天晚上9時45分，Medamon項目被閃存貸攻擊利用，造成3159美元的損失；

Kraken業務開發總監：比特幣永遠不會被黑客攻擊:就美國財政部遭到由外國政府支持的黑客攻擊一事，Kraken業務開發總監Dan Held表示，比特幣永遠不會被黑客攻擊。摩根溪創始人Anthony Pompliano贊同Held的觀點，并稱比特幣從未被黑客攻擊過。（Cointelegraph）[2020/12/14 15:07:15]

緊接著，PI-DAO項目被閃存貸攻擊利用，造成了6445美元的損失。

這一系列攻擊的攻擊者與攻擊方法，與同一天早些時候發生的WienerDOGE相同。

WienerDOGE攻擊流程

Filecoin開發人員：有477名黑客 225個項目活躍在HackFS中:7月22日，在北京時間9：00開始的Filecoin礦工社區電話會議上，Filecoin開發人員表示，在前些時間開始的HackFS活動中，有477名黑客，225個項目參與。[2020/7/22]

攻擊者通過閃電貸獲得了2900枚BNB。

攻擊者將2900枚BNB換成了6,638,066,501,83枚WDOGE

WdogE:199,177,850,468

WBNB:2978

LP的狀態：

動態 | 韓國多部門提交加密貨幣交易所黑客事件數據，Upbit否認遭黑客入侵:由于沒有采取足夠措施防止加密貨幣交易所遭受黑客攻擊，韓國政府飽受批評。據bitcoin.com援引當地媒體周一的報道，韓國科技部，信息通信部，韓國通信委員會（KCC）和國家警察局已向國民議會提交了加密貨幣交易所黑客事件的數據。國民議會科學和技術信息及通信委員會成員Min Kyung-wook透露，數據顯示，共發生了七起黑客攻擊事件，導致了1288億韓元（約合1.15億美元）的損失。監管機構建議交易所立即采取行動，改善例如缺乏防火墻的信息安全系統，缺乏系統訪問控制，以及防范惡意代碼的不足。在總計1288億韓元的損失中，價值1100億韓元（約合9850萬美元）的加密貨幣從三個加密交易所中被盜，分別為Youbit、Coinrail及Bithumb。這三家交易所即使在收到政府安全檢查要求后還是遭到了攻擊。同時，加密貨幣交易所Upbit7月8日發表聲明否認其遭到黑客入侵的傳聞。[2018/7/11]

將5,974,259,851,654枚WDOGE發送到LP，由于WDOGE比BNB多，所以LP現在處于不平衡狀態。

WDOGE:5,178,624,112,169

WBNB:2978

LP的狀態：

調用skim()函數，從LP中取回4,979,446,261,701枚WDOGE。由于攻擊者在調用skim()之前發送了大量的WDOGE，所以LP將支付大量的費用。這一操作清空了LP內的WDOGE的數量。

攻擊者還調用可sync()函數來更新LP內的儲備值。若干枚WDOGE和2978枚BNB的存在，造成了WDOGE的價格與WBNB相比異常昂貴。

5.最后，攻擊者用剩下的WDOGE換回了2978枚BNB，償還了閃電貸，賺取了78枚BNB。

而其他幾個項目被攻擊的流程步驟也相似：

閃電貸取得WBNB，并用WBNB換取LP中的通縮代幣；

直接將通縮的代幣轉移到LP對上；

調用skim()函數，迫使LP對輸回通縮代幣；

由于轉讓費的存在，攻擊者會重復步驟2~3，將LP對中的通縮代幣耗盡；

通過LP對中的價格不平衡來獲取利潤。

合約漏洞分析

當用戶轉移一定數量的WDOGE時，除了費用，還有4%的代幣將被銷毀。

因此，如果LP發送100枚WDOGE，其余額將減少104枚WDOGE。

所以，LP應該被排除在費用和代幣銷毀之外。

資產損失

審計的作用

CertiK審計專家認為：如果同時對代幣和LP合約進行審計，這個漏洞就可能被發現。然而，如果只有代幣合約被審計，那么交換機制將被視為一個外部依賴。而這種情況在審計過程中將會指出第三方依賴風險。具體為：如果是代幣合約，CertiK審計專家將會與項目方討論，確認是否需要除去LP對的手續費；如果是LP對方的合約，CertiK審計專家會提出通縮幣的討論，并且提醒項目方可能存在的風險。

作為區塊鏈安全領域的領軍者，CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止，CertiK已獲得了3200家企業客戶的認可，保護了超過3110億美元的數字資產免受損失。

Tags：DOGDOGEWDOWDOGDOGG幣NEODOGE價格wdo幣是什么意思啊WDOGE

比特幣最新價格