CertiK：ZEED被盜百萬美元資產事件分析-ODAILY_YEE

Author：

Time：1900/1/1 0:00:00

北京時間2022年4月21日下午3時15分，CertiK審計團隊監測到ZEED項目被攻擊，造成了104萬美金的財產損失。被盜取資金被轉移至一合約中，而該合約具有自我銷毀功能，因此該操作無法逆轉，資金無法被追回。

攻擊步驟

①攻擊者合約從HO-SWAPLP收到662枚YEED代幣。

②這662枚YEED代幣被發送到BSC-USD-YEED。由于收費機制的存在，一些收費代幣也將被發送到3個LP對，分別是：BSC-HO-YEED2；BSC-USD-YEED2，BSC-ZEED-YEED2。

Balancer和Gnosis達成合作，將推出新DEX BGP:4月28日消息，Balancer和Gnosis達成合作，將推出新DEX Balancer-Gnosis Protocol（BGP）。[2021/4/28 21:08:41]

③由于費用計算出錯，一些YEED代幣也將被錯誤地創建/發送到LP。

④從這一刻起，每個LP就處于不平衡狀態。在每個LP合約中，都有著與其他代幣相較過多的YEED代幣。

⑤然后，攻擊者將在每個LP上不斷循環調用skim(to:LP)函數。該函數是為了重新調整LP內的兩種代幣的數量，將多余的代幣發送到to參數。由于攻擊者配置的目的地是LP本身，不平衡將不斷增加，更多的獎勵代幣將被創建。

Balancer回應“計劃在Algorand上擴展”：未參與項目構建，仍致力于推出Balancer V2:基于以太坊的DeFi協議Balancer在推特上就“Balancer計劃在Algorand上擴展”一事回應稱：“我們想要明確的是，Balancer Labs向Algorand發放了5000美元的小額贈款以表支持，但Balancer Labs團隊沒有參與這個項目的開發。我們的注意力只集中在以太坊和即將發布的Balancer V2上。換言之，Balancer Labs并沒有在Algorand上進行任何構建。相反，Reach（由Algorand基金會資助的區塊鏈應用構建解決方案）正努力在Algorand上部署。我們仍在按照計劃推進開發，Balancer Labs繼續致力于推出V2。”此前外媒報道稱Balancer計劃在Algorand上擴展，基于Algorand的Balancer版本將由Algorand基金會資助的區塊鏈應用構建解決方案Reach開發。Algorand首席運營官W. Sean Ford表示，一旦在Algorand區塊鏈上啟動（預計將在2021年第三季度），Balancer用戶將能夠與任何Algorand標準資產（ASA）建立流動性池或交易對。[2021/4/7 19:54:16]

每一次的轉移都會：

日本營銷公司Ceres投資Pantera Capital加密基金:日本營銷公司Ceres宣布將向Pantera Capital提供一筆資金，以支付給該公司的第三只加密貨幣基金。（cointelegraph）[2020/3/5]

從一種LP發送YEED代幣到另外一種LP。

向LP發送因錯誤產生的YEED代幣獎勵

通過以上方式，攻擊者保持了LP內代幣的不平衡，并且每次都會增加LP內YEED代幣的數量。

比如，我們可以看到在BSC-ZEED-YEED2LP中，最初的YEED的數量是96個。

動態 | The Block分析師Larry Cermak發布官方聲明向Ran NeuNer道歉:據Chepicap報道，The Block分析師Larry Cermak近日發布官方聲明，向CNBC主持人Ran NeuNer道歉。此前，Block發布關于Blockchain Terminal及其ICO騙局的文章，而NeuNer曾是該公司的投資者和顧問。但Cermak和The Block編輯Mike Dudas發布長串推特，指責NeuNer參與了騙局。對此，NeuNer在社交媒體表示強烈譴責，稱這種報道是“可恥的”。Cermak道歉后，Ran NeuNer刪除了相關推文和博客。[2019/1/6]

而當攻擊者調用skim(to:attacker_contract)以后，LP中的YEED余額為368,560。

最后一次調用，則將368,560枚代幣發送給了攻擊者。