2022年9月8日,CertiKSkynet天網監測到NewFreeDAO(NFD)項目遭遇了閃電貸攻擊。
漏洞在NFD項目部署的一個未經驗證的獎勵合約中,攻擊者利用閃電貸借入NFD代幣,并將其發送到攻擊合約。隨后攻擊合約則調用未經驗證的獎勵合約,向攻擊者發送更多的NFD代幣。
攻擊者在3次攻擊中重復這個過程,獲取了4481個WBNB,價值約125萬美元。
由于攻擊者大量拋售NFD代幣,該代幣的價格已經暴跌超過99%。
攻擊步驟
The New Computer Corporation (NCC) 完成250萬美元融資:10月19日消息,提供 web3 基礎設施和去中心化應用程序接口服務的 The New Computer Corporation (NCC) 宣布完成 250 萬美元種子輪融資,Borderless Capital 領投,Eterna Capital、PEER、Algorand Foundation、Hivemind Ventures、Big Brain Holdings、Web Tree Capital、Noise DAO、 Valentine Venture、Ten Ventures、 Marcus Eng 和 SongADAO 參投。[2022/10/20 16:30:36]
①攻擊者部署了一個惡意合約。在同一筆交易中,它調用了以下函數,將自己添加為合約成員。
Newland迎來戰略性升級 每日100萬HPT額外獎勵以太坊生態挖礦:據官方消息,4月19日,Newland迎來戰略性升級。升級過后,DeFi全生態聚合平臺Newland將集成ETH、HECO、BSC、OKT等鏈上全DeFi生態。首次上線以太坊生態挖礦項目Sushi的Sushi-ETH/USDT 、Sushi-BTC/ETH流動性挖礦。并且,在4月19日到4月23日期間,Newland將針對Sushi-ETH/USDT 、Sushi-BTC/ETH流動性挖礦每日補貼市場購買的100萬HPT作為短期的額外激勵。
據Newland官方表示,將持續支持更多不同生態、不同平臺的優質挖礦項目,打造一站式聚合挖礦入口,簡化用戶操作流程。同時,Newland將陸續開放多種挖礦功能,不斷擴大HPT的使用場景,提升HPT的長期價值。詳情請查看NewLand官網。[2021/4/19 20:34:53]
Newland已新增Mdex—ETH/USDT流動性挖礦:據官方消息,Newland已于3月30日(今天)18:00支持Mdex—ETH/USDT流動性挖礦。用戶在Newland平臺存入指定交易對做LP即可獲得流動性挖礦獎勵。目前,Newland已支持Mdex的HPT/USDT、HT/HPT、HBTC/USDT與LAVA的HPT/USDT聚合挖礦功能。
據Newland透露,近期Newland會加快引入更多的單幣、LP聚合挖礦,全力打造HPT挖礦金鏟子,為HPT添加更多的應用場景,賦能HPT價值發展。[2021/3/30 19:30:46]
②攻擊者執行了三次閃電貸攻擊,借助第一筆閃電貸款,借入250個WBNB,并將其交易為6,313,508個NFD代幣。
AVAX首發上線ZG.COM NEW+打新計劃,于7月17日10:00開啟認購:據官方公告,ZG.COM\"NEW+\"打新計劃第16期AVAX將于7月17日10:00正式開啟,本次打新分別于7月17日、7月20日、7月22日進行,每天兩場,共3天。用戶可通過申購以及搶購的方式參與打新,打新價格0.5 USDT起。
據悉,Avalanche - 簡稱為Ava,使用突破性的共識協議構架,是第一個在一秒內確認交易的智能合約平臺,支持 Ethereum 開發工具包的全部內容,使數百萬個完整的區塊生產者成為可能。[2020/7/16]
③這些代幣被發送到一些未經驗證的合約中。
④這調用了0xe2f9d09c,輸入NFD代幣地址0x0000000000000000000038c63a5d3f206314107a7a9fe8cbba29d629d4f9。
⑤這觸發了NFD項目部署的另一個未經驗證的獎勵合約0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e.0x6811e3b9()。
之后,未驗證的合約實際上從獎勵合約中收到了額外的525,283個NFD代幣——總計6,838,792個NFD代幣,這些代幣被發回給了攻擊合約。
⑥在上述交易中,NFD合約錯誤地釋放了額外的525,283NFD。因此當攻擊者完成攻擊時,獲取了總計343,323,371個NFD代幣,在償還了最初的250WBNB貸款后,獲利4481WBNB,總價值約125萬美元。
⑦最后攻擊者通過兩筆交易,將2,000WBNB換為556,556.72USDT。目前攻擊者錢包仍持有2,481WBNB。
漏洞分析
本次攻擊事件的漏洞位于NFD項目部署的一個未經驗證的獎勵合約。由于NFD合約的源代碼在BSCScan上未被驗證,因此還無法確定攻擊者用來利用合約的確切機制。
資金去向
攻擊者總共獲得了4481個WBNB,并將其中的2000個換成了55.7萬枚USDT,剩下的WBNB仍然在攻擊者的賬戶中。
將2000WBNB交易為USDT的兩筆交易:
https://bscscan.com/tx/0x8c035fc9c3d944b3dd4a0ea721c119240cb624e79b7625a16173ad6682410599
https://bscscan.com/tx/0xda4b4de6ecacfe9b8b60167a2010630aeec103ab51920eb2e1b94ba1fef6c95b
相關地址
攻擊者賬戶:
https://bscscan.com/address/0x22c9736d4fc73a8fa0eb436d2ce919f5849d6fd2
攻擊合約:
https://bscscan.com/address/0xa35ef9fa2f5e0527cb9fbb6f9d3a24cfed948863
未經驗證的獎勵合約:
https://bscscan.com/address/0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e
WBNB-USDT對:
https://bscscan.com/address/0x16b9a82891338f9ba80e2d6970fdda79d1eb0dae
USDT-NFD對:
https://bscscan.com/address/0x26c0623847637095655b2868c3182b2285bdaeaf
寫在最后
攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會持續于官方公眾號發布與項目預警相關的信息。
CertiK的端到端安全解決方案,從智能合約審計和KYC項目背景調查服務,到Skynet天網動態掃描系統和SkyTrace等區塊鏈分析工具,以及漏洞賞金計劃,助力每一個項目充分發揮潛力的同時為Web3.0打造用戶和投資者高參與的生態系統。
這個長文系列的第一篇休閑破冰類游戲發出后,反響比預計的要熱烈,看的出經過了10個月的鏈游熊市,玩家們看到一個項目已經不再是開頭就問:怎么賺錢最快?而是先思考和判斷值不值得深度介入.
1900/1/1 0:00:00據Binance官方消息,TRX已入選BinanceCMCTop10等權指數。 PeckShieldAlert:TRX鯨魚地址在過去6天內提供4950萬TUSD到JustLend:金色財經報道,
1900/1/1 0:00:00據區塊鏈瀏覽器TRONSCAN數據,過去一周,波場版穩定幣日均轉賬額為11,887,625,503美元,超過118億美元.
1900/1/1 0:00:00最新數據顯示,截至11月15日,JustLendDAO借貸市場中存款APY最高的是BTT,達到20.23%,其次是NFT和JST,分別達到19.42%、18.65%.
1900/1/1 0:00:00目錄 摘要 1.什么是合并? 2.為什么要合并? 2.1POS有利于分片管理2.2POS是能源友好型 3.合并后的變化 3.1區塊結構 3.2網絡結構 3.3共識機制 3.4狀態 4.
1900/1/1 0:00:0012月8日,格林納達常駐世界貿易組織代表、特命全權大使、波場TRON創始人孫宇晨先生閣下將參加CoinDesk網絡研討會,為下一代區塊鏈領導者賦能.
1900/1/1 0:00:00