2022年9月8日,CertiKSkynet天網監測到NewFreeDAO(NFD)項目遭遇了閃電貸攻擊。
漏洞在NFD項目部署的一個未經驗證的獎勵合約中,攻擊者利用閃電貸借入NFD代幣,并將其發送到攻擊合約。隨后攻擊合約則調用未經驗證的獎勵合約,向攻擊者發送更多的NFD代幣。
攻擊者在3次攻擊中重復這個過程,獲取了4481個WBNB,價值約125萬美元。
由于攻擊者大量拋售NFD代幣,該代幣的價格已經暴跌超過99%。
攻擊步驟
①攻擊者部署了一個惡意合約。在同一筆交易中,它調用了以下函數,將自己添加為合約成員。
巴西財經頻道創始人:“Bitcoin是實現財務自由的唯一出路”:金色財經報道,據Bitcoin Magazine發文表示,巴西最大財經頻道之一的創始人稱,“Bitcoin是實現財務自由的唯一出路。”[2023/3/20 13:13:43]
②攻擊者執行了三次閃電貸攻擊,借助第一筆閃電貸款,借入250個WBNB,并將其交易為6,313,508個NFD代幣。
③這些代幣被發送到一些未經驗證的合約中。
④這調用了0xe2f9d09c,輸入NFD代幣地址0x0000000000000000000038c63a5d3f206314107a7a9fe8cbba29d629d4f9。
Bonk Inu開發者已銷毀其持有的全部Bonk代幣,占總供應量的5%:1月6日消息,區塊鏈數據顯示,周五早些時候,基于Solana的memecoin項目Bonk Inu (Bonk)背后的開發者燒毀了超過5萬億枚代幣,占總供應量的5%。此舉聲稱有效地銷毀了指定給該項目的開發人員的所有代幣。Solana社區成員認為,這次銷毀是朝著Bonk Inu項目的合法性邁出的一步,Bonk Inu項目通過積極避免內部代幣銷售和掠奪性行為。
此前消息,根據該項目的空投方案,Bonk代幣總供應量的50%將空投給社區,其中5%空投給Solana開發者。[2023/1/6 10:58:32]
⑤這觸發了NFD項目部署的另一個未經驗證的獎勵合約0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e.0x6811e3b9()。
Clearpool:沒有與FTX和Alameda直接接觸:金色財經報道,去中心化借貸市場Clearpool在推特上公布了其近期的運營情況。Clearpool表示并沒有與FTX和Alameda直接接觸,財庫及運營資金存儲在Hex Trust冷錢包中。為Clearpool提供借款資金的用戶自周一開始已近提取了9100萬美元的流動性,而包括Amber、Nibbio和LedgerPrime在內的借款方已還清借款,BlockTower和Jane Street已同意關閉他們的許可池。Alameda許可池的貸款仍未償還,為該池提供資金的機構為Compound Capital和Apollo Capital。
Clearpool表示團隊仍然專注于其生態增長的下一階段,包括開發例如許可池v2、期限池和多元化池在內的一系列新產品。[2022/11/11 12:50:59]
之后,未驗證的合約實際上從獎勵合約中收到了額外的525,283個NFD代幣——總計6,838,792個NFD代幣,這些代幣被發回給了攻擊合約。
華盛頓郵報:推特正在通過廣泛的法律請求調查馬斯克的社交圈:8月2日消息,據華盛頓郵報:推特正在通過廣泛的法律請求調查馬斯克的社交圈,包括硅谷精英投資者Chamath Palihapitiya、David Sacks和Steve Jurvetson的信息。(金十)[2022/8/2 2:52:33]
⑥在上述交易中,NFD合約錯誤地釋放了額外的525,283NFD。因此當攻擊者完成攻擊時,獲取了總計343,323,371個NFD代幣,在償還了最初的250WBNB貸款后,獲利4481WBNB,總價值約125萬美元。
⑦最后攻擊者通過兩筆交易,將2,000WBNB換為556,556.72USDT。目前攻擊者錢包仍持有2,481WBNB。
漏洞分析
本次攻擊事件的漏洞位于NFD項目部署的一個未經驗證的獎勵合約。由于NFD合約的源代碼在BSCScan上未被驗證,因此還無法確定攻擊者用來利用合約的確切機制。
資金去向
攻擊者總共獲得了4481個WBNB,并將其中的2000個換成了55.7萬枚USDT,剩下的WBNB仍然在攻擊者的賬戶中。
將2000WBNB交易為USDT的兩筆交易:
https://bscscan.com/tx/0x8c035fc9c3d944b3dd4a0ea721c119240cb624e79b7625a16173ad6682410599?
https://bscscan.com/tx/0xda4b4de6ecacfe9b8b60167a2010630aeec103ab51920eb2e1b94ba1fef6c95b?
相關地址
攻擊者賬戶:
https://bscscan.com/address/0x22c9736d4fc73a8fa0eb436d2ce919f5849d6fd2?
攻擊合約:
https://bscscan.com/address/0xa35ef9fa2f5e0527cb9fbb6f9d3a24cfed948863?
未經驗證的獎勵合約:
https://bscscan.com/address/0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e?
WBNB-USDT對:
https://bscscan.com/address/0x16b9a82891338f9ba80e2d6970fdda79d1eb0dae?
USDT-NFD對:
https://bscscan.com/address/0x26c0623847637095655b2868c3182b2285bdaeaf?
寫在最后
攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會持續于官方公眾號發布與項目預警相關的信息。
CertiK的端到端安全解決方案,從智能合約審計和KYC項目背景調查服務,到Skynet天網動態掃描系統和SkyTrace等區塊鏈分析工具,以及漏洞賞金計劃,助力每一個項目充分發揮潛力的同時為Web3.0打造用戶和投資者高參與的生態系統。
來源:金色財經
從3月宣布的2022PARSIQ未來發展藍圖PARSIQ團隊很榮幸的宣布TsunamiAPI正式投入服務!TsunamiAPI是我們首個2022PARSIQ未來發展藍圖的旗艦產品.
1900/1/1 0:00:00AaveCompanies是一家監督加密借貸協議Aave的開發實驗室,它正在向Aave社區尋求超過1600萬美元的資金來支付平臺上的開發工作.
1900/1/1 0:00:00價格行動 在美聯儲主席杰羅姆鮑威爾發表鷹派言論以及好于預期的就業數據增加了收緊貨幣政策的可能性之后,比特幣和以太幣在周四的交易中與傳統風險資產一起上漲.
1900/1/1 0:00:00香港萬得通訊社報道,美聯儲主席鮑威爾上周就通過貨幣政策抗擊通脹表達了強硬立場,但分析師擔心其持續收緊政策的潛在威脅。這在一定程度上也呼應了為何美股最近「跌跌不休」.
1900/1/1 0:00:001989年萬維網的發明最終為大部分人帶來了改變生活的工具。其中一些工具,如網上銀行、購物和通信,極大地改善了殘疾人和老年人日常生活的可及性.
1900/1/1 0:00:00周二市場需要密切關注美國8月的ISM非制造業PMI數據,而澳洲聯儲也將會公布利率決議。周一因北美市場休市,市場整體表現較為清淡.
1900/1/1 0:00:00