BTC/HKD+1.51%
ETH/HKD+0.96%
LTC/HKD-0.86%
DOT/HKD-0.95%
ADA/HKD-1.5%
SOL/HKD+2.9%
XRP/HKD-1.07%
DOGE/US+0.98%前言
北京時間2022年4月30日,知道創宇區塊鏈安全實驗室?監測到BSC鏈上的bDollar項目遭到價格操縱攻擊,導致損失約73萬美元。
知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。
基礎信息
攻擊者地址:0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e
攻擊合約:0x6877f0d7815b0389396454c58b2118acd0abb79a
BitKeep敦促黑客及模仿套利者24小時內歸還盜取資金:10月29日消息,Web3多鏈錢包BitKeep通過鏈上消息對此前攻擊BitKeep Swap的黑客喊話,敦促黑客及模仿套利者在24小時內進行回應并歸還盜取的資金。BitKeep稱,在安全機構和業務合作伙伴的支持下,已掌握黑客的關鍵身份信息。
10月27日,BitKeep曾發布公開信,要求黑客及模仿套利者進行協商歸還盜取的資金,并提供被盜資金的5%作為漏洞賞金/退款獎勵,否則將協助并聯合受影響的用戶訴諸法律手段。此外,BitKeep表示目前已完成99%的賠付工作。[2022/10/29 11:55:55]
tx:0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4
Coinbase因涉嫌安全漏洞而再次面臨集體訴訟:金色財經報道,在美國佐治亞州法院提起的集體訴訟稱,加密貨幣交易所未能保護用戶賬戶免受盜竊和黑客攻擊,并要求賠償超過 500 萬美元。向美國佐治亞州北區地方法院提起的訴訟還指控該公司將用戶永久或長期鎖定在其賬戶之外,從而對用戶造成財務損失,以及通過上市證券違反聯邦法律在其交易平臺上。Coinbase 去年成為第一家在美國上市的加密貨幣交易所,目前正面臨來自不滿投資者的一系列訴訟。(Coindesk)[2022/8/23 12:43:13]
CommunityFund合約:0xEca7fC4c554086198dEEbCaff6C90D368dC327e0
三菱日聯:美元最近的回調很可能是暫時的:7月30日,最近美國國債收益率回落、全球投資者風險情緒初步改善,以及美國經濟衰退風險加劇,都令美元承壓,這使得美元在短期內很容易進一步走軟。然而,分析師仍不認為美元的大范圍拋售會持續更長時間。美聯儲的政策轉向還不夠鴿派,再加上對全球經濟衰退的擔憂將進一步加劇,預計近期美元的回調可能是暫時的。但美元兌日元是例外,分析師認為該貨幣對已經見頂。市場對美聯儲和日本央行政策分歧的預期現在開始收窄,因為美國利率市場預計美聯儲在明年還會有更多的降息。(金十)[2022/7/30 2:47:11]
漏洞分析
漏洞關鍵在于CommunityFund合約中的claimAndReinvestFromPancakePool方法在使用Cake代幣進行代幣轉換時,會對換取的WBNB數量進行判斷并且會自動把換取的WBNB的一半換為BDO代幣;而之后合約會自動使用合約中的WBNB為池子添加流動性,若此時BDO代幣的價值被惡意抬高,這將導致項目方使用更多的WBNB來為池子添加流動性。
而最為關鍵的是,攻擊者實施攻擊前,在WBNB/BDO、Cake/BDO、BUSD/BDO池子中換取了大量BDO代幣導致BDO價格被抬高。
在我們對攻擊交易進行多次分析之后,發現事情并沒有那么簡單,該次攻擊極有可能是被搶跑機器人搶跑交易了,依據如下:
1、該筆攻擊交易比BSC鏈上普通交易Gas費高很多,BSC鏈上普通交易默認Gas費為5Gwei,而該筆交易竟高達2000Gwei。
2、我們發現該攻擊合約與攻擊者地址存在多筆搶跑交;
3、我們在相同區塊內找尋到了真實攻擊者的地址與交易,該交易被回滾了。
攻擊流程
1、攻擊者使用閃電貸貸款670枚WBNB;
2、之后攻擊者將WBNB在各個池子中換取大量BDO代幣;
3、隨后攻擊者再次使用閃電貸貸款30516枚Cake代幣;
4、將貸款的Cake代幣進行swap,換取400WBNB,其中200枚被協議自動換取為BDO代幣;
5、攻擊者將WBNB換取Cake代幣用于歸還閃電貸;
6、最后,攻擊者將升值后的3,228,234枚BDO代幣換取3020枚WBNB,還款閃電貸671枚,成功套利2381枚WBNB價值約73萬美元。
總結
本次攻擊事件核心是合約會為流動性池自動補充流動性,而未考慮代幣價格是否失衡的情況,從而導致項目方可能在價格高位對流動性進行補充,出現高價接盤的情況。
建議項目方在編寫項目時多加注意函數的邏輯實現,對可能遇到的多種攻擊情況進行考慮。
在此提醒項目方發布項目后一定要將私鑰嚴密保管,謹防網絡釣魚,另外,近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
DearValuedUsers,HuobiGlobalwillbelaunchingdepositeventsfor?KCT.Makeyourdepositstoearnhigh-yieldin.
1900/1/1 0:00:00尊敬的XT.COM用戶:PLUGCN錢包升級維護已完成,XT.COM現已恢復PLUGCN充提業務.
1900/1/1 0:00:00市場消息 近兩周USDT發行從835億降到733億減少102億美金,USDC增發了40億美金現在是530億美金,BUSD增發了10億現在是185億美金.
1900/1/1 0:00:00尊敬的用戶: 為了感謝全球用戶一直以來的支持與鼓勵,BKEX決定將為全球新注冊用戶開展“新用戶注冊交易享百萬空投”活動.
1900/1/1 0:00:00DearValuedUsers,Huobi?EarnHigh-YieldPizzaDay?eventandwilllaunchadepositeventsfor?AKT.Makeyourdepo.
1900/1/1 0:00:00DearValuedUsers,HuobiGlobalisscheduledtolistOCT(Octopus)onMay25.
1900/1/1 0:00:00
比特幣交易所
