8 月 25 日,知道创宇区块链安全实验室 监测到 BSC 链上的 DeFi 协议 Dot Finance 遭遇闪电贷袭击,价值跌落近 35%。实验室第一时间跟踪本次事件并分析。
黑客地址:
0xDFD78a977c08221822F6699AD933869Da6d9720C
6月1日波卡解除质押120.48万枚DOT:5月30日消息,据KingData监控,本周(05月30日-06月05日)波卡解除质押的DOT总量为368.94万枚。解锁峰值在6月1日,解锁120.48万枚DOT。[2022/5/30 3:50:44]
攻击合约地址:0x33f9bB37d60Fa6424230e6Cf11b2d47Db424C879
受害合约地址:0x16fd050f05f8fc361cf9083aa3f624a2bf7e914d0xbfca3b1df0ae863e966b9e35b9a3a3fee2ad8b07
DOT突破36美元关口 日内涨幅为6.64%:火币全球站数据显示,DOT短线上涨,突破36美元关口,现报36.03美元,日内涨幅达到6.64%,行情波动较大,请做好风险控制。[2021/2/20 17:32:30]
分析交易哈希:0x68170a309ab2e944e178ccf9bf6f19e25a3f356031ce53539bb9669fc77172f2
swap函数
1.整个交易都始于 PancakePair swap函数
TokenPocket钱包正式发布Polkadot、Kusama版本:据官方消息,12月25日,TokenPocket钱包正式发布Polkadot、Kusama版本。更新版本后,用户即可在TP钱包进行Polkadot、Kusama账号注册、交易转账、提案投票,质押,生态治理等基础功能。
同时,所有基于Substrate框架开发的平行链TokenPocket都能做到快捷支持,无需发布新版本,即可实现“一键支持平行链”,满足该链的交易转账,提案,治理等核心功能。平行链竞拍开启后,不论项目方或用户都可以使用TokenPocket进行DOT/KSM质押,参与插槽拍卖。
多链数字资产钱包TokenPocket已为全球近千万用户提供可信赖的数字资产管理服务,用户遍布全球一百多个国家和地区,日活用户超过20万。TokenPocket已成为BTC、ETH、TRON 、EOS 、BSC、HECO等公链上具备竞争力的钱包。TokenPocket内置DApp应用商店,支持UniSwap、JustSwap、MakerDAO、Organix等上千款去中心化金融(DeFi)。[2020/12/26 16:34:37]
2.为攻击提供资金支持
get reward 函数
1.使用 balanceOf(address(this)) 获取 CAKE 代币余额
2.通过 CAKE 代币余额来铸造奖励
1.黑客使用 PancakeSwap 闪电贷获得初始资金 100 Cake 代币;
2.通过将 Cake 代币 打入 VaultPinkBNB 合约,来影响 getReward 函数获取合约 Cake 代币真实值,同时 performanceFee 参数受 Cake 代币真实值影响数值巨大;
3.最后 mintFor 函数使用受影响的 performanceFee 参数向黑客铸造大量 pink 代币奖励;
此次攻击属于 PancakeBunny 同类型的攻击事件,迄今为止此类攻击事件已发生多次,知道创宇区块链安全实验室再次提醒,近期 BSC 链上频频爆发攻击事件,合约安全愈发需要得到迫切重视,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。