2022年5月21日,成都链安链必应-区块链安全态势感知平台舆情监测显示, bDollar项目遭受价格操控攻击,攻击者获利2381WBNB(价值约73万美元)。成都链安技术团队第一时间对事件进行了分析,结果如下。
#1 项目相关信息
Beosin:EthTeamFinance项目遭受到了漏洞攻击事件简析:据Beosin EagleEye 安全预警与监控平台检测显示,ETH链上的EthTeamFinance项目遭受漏洞攻击,攻击合约0xCFF07C4e6aa9E2fEc04DAaF5f41d1b10f3adAdF4通过LockToken合约的migrate函数没有正确验证_id和params的漏洞,将WTH,CAW,USDC,TSUKA代币从V2流动性池非法升级到V3流动性池,并且通过sqrtPriceX96打乱V3流动池的Initialize的价格,从而获取大量refund套利。共计套利了约1300多万美元。[2022/10/27 11:49:12]
由 Bearn.fi 提供的 bDollar 是币安智能链上的第一个算法稳定币,它可以确定性地调整其供应量,将代币的价格向目标价格方向移动,从而为 DeFi 带来可编程性和互操作性。
火币:没有遭受AE51%双花攻击和任何资金损失:据 Aeternity(AE)社区消息,12月7日AE 遭到黑客51%双花攻击,损失超过3900万枚AE代币,AE 官方推特则回复表示已经得知消息,正在了解损失的范围和影响。据悉此次受损的主要是部分头部交易所和矿池。
对此火币全球站相关负责人表示,火币安全团队有着行业最严格的风控体系,主要从评估充值确认数、大额延迟上账、监测到链上回滚立马回滚到正确状态后关闭钱包、 监控算力异常变动四个方向防御双花攻击。因此火币成功防御了此次AE的双花攻击,也没遭受任何资金损失。[2020/12/9 14:40:53]
#2 事件相关信息
动态 | 新加坡交易所Coinhako在遭受攻击后限制用户取款:金色财经报道,Tim Draper支持的新加坡加密货币交易所Coinhako在遭到“复杂攻击”后,限制了用户的取款。该交易所周五告诉用户,加密货币的账户发送功能暂时被禁用。尽管一名发言人最初表示,这是为了“维护网络”,但该交易所之后承认,该交易遭受攻击,将实施账户限制,以防止“未经授权的交易”,直到问题完全解决。Coinhako发言人说,这次攻击并不是钱包被黑,用户私钥没有受到影响。受此攻击直接影响的用户不到20名。Coinhako计划于3月1日恢复全部运营能力。[2020/2/28]
攻击交易
动态 | 苹果系统遭受攻击并被索要17.4万美元的比特币作为赎金:据zycrypto消息,21岁的土耳其IT分析师、凡士林数字和垂直媒体创始人Kerem Albayrak攻击了苹果系统,威胁要出售3.19亿用户的详细信息,并索要17.4万美元的比特币作为赎金。在英国伦敦威斯敏斯特地方法院,昨日受审的Kerem Albayrak在Youtube视频中透露了这一威胁,视频显示他正在访问苹果icloud用户的账户。然而,他还没有对此认罪。[2018/10/19]
0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4
攻击者地址
0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e
攻击合约
0x6877f0d7815b0389396454c58b2118acd0abb79a
被攻击合约
0xeaDa3d1CCBBb1c6B4C40a16D34F64cb0df0225Fd
1、通过闪电贷借出670WBNB。
2、 将其分成多份分别转入到WBNB/BDO、BUSD/BDO等多个池子进行兑换,拉高BDO的价格。
3、攻击者接着借出30,516 cake用于后续攻击:调用DAO Fund合约中的claimAndReinvestFromPancakePool函数,该函数将cake兑换成400个wbnb,且触发了200WBNB兑换BDO,然而最后会调用_addLiquidity,用合约中的WBNB去添加流动性。此时由于BDO价格很高,导致添加流动性时需要使用项目方合约中大量的WBNB,相当于项目方高位接盘。
4、最后攻击者通过pancake兑换出WBNB,归还闪电贷,获利2381 WBNB。
本次攻击主要利用了DAO fund代理合约CommunityFund中claimAndReinvestFromPancakePool函数在添加流动性时的设计漏洞,未充分考虑到价格被恶意拉高后,项目方会在添加流动性时,用自己合约内的资金被动高位接盘的情况。
截止发文时,被盗资金还未被攻击者转出,仍存在攻击合约中:0x6877F0D7815b0389396454C58b2118ACD0aBB79A。
针对本次事件,成都链安技术团队建议:
1、合约在设计时应充分考虑可能遇到的攻击,尽量完善其安全设计;
2、项目上线前,建议选择专业的安全审计公司进行全面的安全审计,规避安全风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。