北京時間2022年4月24日下午4時33分,CertiK審計團隊監測到WienerDOGE項目被惡意利用,造成了3萬美元的損失。攻擊者利用WDODGE的收費機制和交換池之間的不一致,發起了攻擊。
事件發生的根本原因是:通過緊縮的代幣合約造成發送方的LP對沒有被排除在轉賬費用之外。因此,攻擊者能夠將LP對中的通貨緊縮代幣耗盡,進而導致貨幣對價格失衡。
而隨后于同一天內接連發生了另外三起惡意利用:
安全團隊:獲利約900萬美元,Moola協議遭受黑客攻擊事件簡析:10月19日消息,據Beosin EagleEye Web3安全預警與監控平臺監測顯示,Celo上的Moola協議遭受攻擊,黑客獲利約900萬美元。Beosin安全團隊第一時間對事件進行了分析,結果如下:
第一步:攻擊者進行了多筆交易,用CELO買入MOO,攻擊者起始資金(182000枚CELO).
第二步:攻擊者使用MOO作為抵押品借出CELO。根據抵押借貸的常見邏輯,攻擊者抵押了價值a的MOO,可借出價值b的CELO。
第三步:攻擊者用貸出的CELO購買MOO,從而繼續提高MOO的價格。每次交換之后,Moo對應CELO的價格變高。
第四步:由于抵押借貸合約在借出時會使用交易對中的實時價格進行判斷,導致用戶之前的借貸數量,并未達到價值b,所以用戶可以繼續借出CELO。通過不斷重復這個過程,攻擊者把MOO的價格從0.02 CELO提高到0.73 CELO。
第五步:攻擊者進行了累計4次抵押MOO,10次swap(CELO換MOO),28次借貸,達到獲利過程。
本次遭受攻擊的抵押借貸實現合約并未開源,根據攻擊特征可以猜測攻擊屬于價格操縱攻擊。截止發文時,通過Beosin Trace追蹤發現攻擊者將約93.1%的所得資金 返還給了Moola Market項目方,將50萬CELO 捐給了impact market。自己留下了總計65萬個CELO作為賞金。[2022/10/19 17:32:31]
下午6時20分,LastKilometer項目被閃電貸攻擊利用,造成了26495美元的損失;
說唱歌手HiiiKey播客被黑,黑客偽造加密贈品竊取7萬美元:說唱歌手HiiiKey證實YouTube頻道遭黑客攻擊,并被用來推廣偽造的比特幣和以太坊贈品,從不知情的用戶那里竊取了超過7萬美元。(Cointelegraph)[2021/1/7 16:40:23]
晚上9時45分,Medamon項目被閃存貸攻擊利用,造成3159美元的損失;
緊接著,PI-DAO項目被閃存貸攻擊利用,造成了6445美元的損失。
這一系列攻擊的攻擊者與攻擊方法,與同一天早些時候發生的WienerDOGE相同。
動態 | 攻擊BetDice等多款游戲的黑客已將贓款分攤至7,791個帳號,ECAF凍結處理已成難題:據PeckShield態勢感知平臺12月22日數據顯示:針對三天前四款EOS競猜類游戲接連遭黑客攻擊的安全事件,PeckShield數據研究人員進一步跟蹤發現,涉及到的不當獲利288,329.85個EOS,目前已被黑客以大批量創建子賬號分散資金的方式,全部分攤至多達7,791個帳號,平均每個帳號包含25-60個小額EOS。目前黑客已暫停資金分散,并有少量資金開始轉移至交易所。不過,多達數千個分散帳號,對ECAF接下來的凍結處理造成了極大挑戰。為提高效率幫助開發者挽回資產損失,PeckShield安全人員建議:1、ECAF應在安全事件突發后第一時間迅速反應就臨時凍結黑客核心帳號,阻擋黑客進一步分散資金的可能。2、黑客的涉贓款帳號PeckShield已經全部布控,一旦開始大額轉入交易所將會發出預警,在此呼吁各大交易所能協助對相關賬號進行處理。[2018/12/22]
攻擊步驟
黑客余弦:區塊鏈生態安全是一場真槍實彈的戰爭:知名黑客,慢霧科技聯合創始人余弦表示,區塊鏈生態參與者角色更是復雜,有攻擊者、防守方,還有大莊家,稍有不慎就會有攻擊者過來。不過很多對抗思路比較傳統,而且很多時候會忽略高級的攻擊模式,這種模式一般很難出現,一旦遭遇,損失無可估量。其實區塊鏈生態安全里面很少有人去討論戰略戰術,但是我們就應該把它當做是一場真正的網絡戰爭,你得有真槍實彈。[2018/4/25]
①攻擊者通過閃電貸獲得了2900枚BNB。
②攻擊者將2900枚BNB換成了6,638,066,501,83枚WDOGE。
●LP的狀態:
○WdogE:199,177,850,468
○WBNB:2978
③將5,974,259,851,654枚WDOGE發送到LP,由于WDOGE比BNB多,所以LP現在處于不平衡狀態。
●LP的狀態:
○WDOGE:5,178,624,112,169
○WBNB:2978
④調用skim()函數,從LP中取回4,979,446,261,701枚WDOGE。由于攻擊者在調用skim()之前發送了大量的WDOGE,所以LP將支付大量的費用。這一操作清空了LP內的WDOGE的數量。
攻擊者還調用可sync()函數來更新LP內的儲備值。若干枚WDOGE和2978枚BNB的存在,造成了WDOGE的價格與WBNB相比異常昂貴。
⑤最后,攻擊者用剩下的WDOGE換回了2978枚BNB,償還了閃電貸,賺取了78枚BNB。
而其他幾個項目被攻擊的流程步驟也相似:
閃電貸取得WBNB,并用WBNB換取LP中的通縮代幣;
直接將通縮的代幣轉移到LP對上;
調用skim()函數,迫使LP對輸回通縮代幣;
由于轉讓費的存在,攻擊者會重復步驟2~3,將LP對中的通縮代幣耗盡;
通過LP對中的價格不平衡來獲取利潤。
漏洞分析
當用戶轉移一定數量的WDOGE時,除了費用,還有4%的代幣將被銷毀。
因此,如果LP發送100枚WDOGE,其余額將減少104枚WDOGE。
所以,LP應該被排除在費用和代幣銷毀之外。
資產去向
寫在最后
如果同時對代幣和LP合約進行審計,這一風險因素就可以被發現。
然而,如果只有代幣合約被審計,那么交換機制將被視為一個外部依賴。
而這種情況在審計過程中將會指出第三方依賴風險。具體為:如果是代幣合約,CertiK審計專家將會與項目方討論,確認是否需要除去LP對的手續費;如果是LP對方的合約,CertiK審計專家會提出通縮幣的討論,并且提醒項目方可能存在的風險。
據最新消息,5月13日,波場去中心化算法穩定幣USDD已正式登陸Huobi。 波場GameFi項目WIN NFT HORSE將與幣安NFT聯合推出IGO:據官方消息,WIN NFT HORS將聯.
1900/1/1 0:00:002022.2.21第106期 本期關鍵字 摩根大通發布元宇宙研究報告;PayPal推出賣家保護計劃;伯克希爾哈撒韋增持加密友好數字銀行Nubank股票;蘇富比接受加密貨幣支付;超級碗期間的加密廣.
1900/1/1 0:00:00北京時間2022年4月17日,CertiK審計團隊監測到Beanstalk協議被惡意利用,導致24,830ETH和36,398,226BEAN遭受損失.
1900/1/1 0:00:00無論是確定碳排放信用、您支付多少電費或您的智能手機運營商使用多少帶寬來傳輸信息,拍賣在當代社會中都發揮著重要作用.
1900/1/1 0:00:00Polkadot生態研究院出品,必屬精品波卡一周觀察,是我們針對波卡整個生態在上一周所發生的事情的一個梳理,同時也會以白話的形式分享一些我們對這些事件的觀察.
1900/1/1 0:00:00據區塊鏈瀏覽器TRONSCAN數據,過去二十三周,TRX連續處于通縮狀態,通縮量達3.09億枚TRX.
1900/1/1 0:00:00