2022年9月8日,CertiKSkynet天網監測到NewFreeDAO(NFD)項目遭遇了閃電貸攻擊。
漏洞在NFD項目部署的一個未經驗證的獎勵合約中,攻擊者利用閃電貸借入NFD代幣,并將其發送到攻擊合約。隨后攻擊合約則調用未經驗證的獎勵合約,向攻擊者發送更多的NFD代幣。
攻擊者在3次攻擊中重復這個過程,獲取了4481個WBNB,價值約125萬美元。
由于攻擊者大量拋售NFD代幣,該代幣的價格已經暴跌超過99%。
攻擊步驟
①攻擊者部署了一個惡意合約。在同一筆交易中,它調用了以下函數,將自己添加為合約成員。
BitDigital與MegaMatrix成立合資公司,以開發非托管質押工具:3月8日消息,比特幣礦企BitDigital,Inc.宣布與MegaMatrixCorp成立合資公司,為用戶提供非托管質押工具,合資公司將設立在新加坡,根據協議,BitDigital將擁有合資公司40%的股權。據悉,MegaMatrix是一家位于加利福尼亞州的上市公司,專注于以太坊質押及其區塊鏈基礎設施。[2023/3/8 12:48:48]
②攻擊者執行了三次閃電貸攻擊,借助第一筆閃電貸款,借入250個WBNB,并將其交易為6,313,508個NFD代幣。
③這些代幣被發送到一些未經驗證的合約中。
BIS與多個央行開展跨境零售CBDC實驗“Project Icebreaker”:金色財經報道,由國際清算銀行(BIS)與以色列、挪威和瑞典央行聯合發起的“Project Icebreaker”成功完成了一項關于在國際支付中使用零售央行數字貨幣(CBDC)潛在利弊的研究。
該項目測試了在不同實驗性零售CBDC系統之間以中心輻射式模型進行跨境和跨貨幣交易的技術可行性。在測試中,一筆跨境交易被分解為兩筆國內支付,由活躍在兩個國內系統中的外匯提供商進行。該項目還表明,此模型可以通過使用央行貨幣協調支付來降低結算和對手方風險,在數秒內完成跨境交易。(Finextra)[2023/3/6 12:45:26]
④這調用了0xe2f9d09c,輸入NFD代幣地址0x0000000000000000000038c63a5d3f206314107a7a9fe8cbba29d629d4f9。
數據:交易所比特幣余額跌至233.06萬枚,創4年新低:金色財經報道,Glassnode數據顯示,交易所中的比特幣余額跌至約233.06萬枚(2330656枚),創4年來新低,上次的低點為2022年8月29日的2330779枚。[2022/10/10 12:52:11]
⑤這觸發了NFD項目部署的另一個未經驗證的獎勵合約0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e.0x6811e3b9()。
之后,未驗證的合約實際上從獎勵合約中收到了額外的525,283個NFD代幣——總計6,838,792個NFD代幣,這些代幣被發回給了攻擊合約。
Coatue普通合伙人Luca Schmid和Sebastian Duesterhoeft已離職:10月8日消息,援引知情人士報道,幫助領導其私人科技投資的Coatue Management普通合伙人Luca Schmid和Sebastian Duesterhoeft已離開這家總部位于紐約的對沖基金公司。Schmid計劃與Checkout.com創始人Guillaume Pousaz合作成立家族辦公室,以投資金融科技初創公司,Duesterhoeft將作為合伙人加入Lightspeed Venture Partners。據悉,Schmid曾領導了該公司的一些頂級加密投資,包括Chainalysis、Fireblocks和Dune Analytics等。[2022/10/8 12:49:40]
⑥在上述交易中,NFD合約錯誤地釋放了額外的525,283NFD。因此當攻擊者完成攻擊時,獲取了總計343,323,371個NFD代幣,在償還了最初的250WBNB貸款后,獲利4481WBNB,總價值約125萬美元。
⑦最后攻擊者通過兩筆交易,將2,000WBNB換為556,556.72USDT。目前攻擊者錢包仍持有2,481WBNB。
漏洞分析
本次攻擊事件的漏洞位于NFD項目部署的一個未經驗證的獎勵合約。由于NFD合約的源代碼在BSCScan上未被驗證,因此還無法確定攻擊者用來利用合約的確切機制。
資金去向
攻擊者總共獲得了4481個WBNB,并將其中的2000個換成了55.7萬枚USDT,剩下的WBNB仍然在攻擊者的賬戶中。
將2000WBNB交易為USDT的兩筆交易:
https://bscscan.com/tx/0x8c035fc9c3d944b3dd4a0ea721c119240cb624e79b7625a16173ad6682410599?
https://bscscan.com/tx/0xda4b4de6ecacfe9b8b60167a2010630aeec103ab51920eb2e1b94ba1fef6c95b?
相關地址
攻擊者賬戶:
https://bscscan.com/address/0x22c9736d4fc73a8fa0eb436d2ce919f5849d6fd2?
攻擊合約:
https://bscscan.com/address/0xa35ef9fa2f5e0527cb9fbb6f9d3a24cfed948863?
未經驗證的獎勵合約:
https://bscscan.com/address/0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e?
WBNB-USDT對:
https://bscscan.com/address/0x16b9a82891338f9ba80e2d6970fdda79d1eb0dae?
USDT-NFD對:
https://bscscan.com/address/0x26c0623847637095655b2868c3182b2285bdaeaf?
寫在最后
攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會持續于官方公眾號發布與項目預警相關的信息。
CertiK的端到端安全解決方案,從智能合約審計和KYC項目背景調查服務,到Skynet天網動態掃描系統和SkyTrace等區塊鏈分析工具,以及漏洞賞金計劃,助力每一個項目充分發揮潛力的同時為Web3.0打造用戶和投資者高參與的生態系統。
來源:金色財經
94紀念日,最大的意義不是回味過去,回味經歷,而是讓行業回歸理性,回歸價值,回歸技術,回歸區塊鏈出世的初衷。真正的區塊鏈是一項可以造福人類的偉大技術,更加考驗技術和決策人士的智慧.
1900/1/1 0:00:00原文作者:SamiKassab原文編譯:Blockunicorn 關鍵的見解 Burn-and-MintEquilibrium(BME)模型和Stake-for-Access(SFA)模型是We.
1900/1/1 0:00:00自國外NFT市場火爆到我國數字藏品相關機構與平臺紛紛成立,截止今年上半年據不完全統計已有各類數藏平臺近2000家,各平臺資質參差不齊、魚龍混雜,我委因此也頻頻接到各類舉報信息.
1900/1/1 0:00:00昵稱:Kuan 項目:InternetofMobility(IoM)官網:https://internetofmobility.
1900/1/1 0:00:00當地時間9月1日,瑞士知名區塊鏈媒體BitcoinNews發表一篇名為《外交:年輕的華人數字貨幣富豪的新探險》的文章,文章表示,辭去波場基金會CEO.
1900/1/1 0:00:00寫在以太坊合并「前夜」。撰文:Eric,ForesightNews2013年11月,在比特幣創世區塊誕生近5年之后,以太坊白皮書問世.
1900/1/1 0:00:00