据CertiK安全团队监测,,WienerDOGE项目于北京时间2022年4月24日下午4时33分被恶意利用,造成了3万美元的损失。攻击者利用WDODGE的收费机制和交换池之间的不一致,发起了攻击。
事件发生的根本原因是:通过紧缩的代币合约造成发送方的LP对没有被排除在转账费用之外。因此,攻击者能够将LP对中的通货紧缩代币耗尽,进而导致货币对价格失衡。
而随后于同一天接连发生了另外三起恶意利用:
同天下午6时20分,LastKilometer项目被闪电贷攻击利用,造成了26495美元的损失;
Poly Network黑客已兑换5196枚ETH:金色财经报道,据Beosin Alert监测,跨链互操作协议Poly Network 攻击者在以太坊上共换取了5196枚ETH(约合1010万美元)。其他代币(约合2.6亿美元)由于流动性低,攻击者可能无法兑现。
金色财经此前报道,跨链桥Poly Network项目被攻击,用户请注意资产安全。[2023/7/3 22:15:14]
同天晚上9时45分,Medamon项目被闪存贷攻击利用,造成3159美元的损失;
紧接着,PI-DAO项目被闪存贷攻击利用,造成了6445美元的损失。
两个地址持有73%以上的FTT代币供应,其中FTX黑客为FTT第二大持币者:11月28日消息,Etherscan.io数据显示,11月27日,大约有24874个钱包持有FTT代币,而FTT前两大持币地址持有73%以上的FTT代币供应;其中最大持币钱包持有195,869,338枚FTT,占全部供应量的59.55%;“FTX Accounts Drainer”黑客是FTT第二大持有者,持有4585万枚FTT代币(约合6144万美元)。此外,Bitdao持有3,362,316枚FTT,Wormhole持有大约2,818,904枚FTT。
在FTX崩溃和申请破产之前,Alameda Research持有最大的FTT储备之一。据报道,Alameda前首席执行官Caroline Ellison已离开香港逃往迪拜。(Bitcoin.com)[2022/11/28 21:06:27]
这一系列攻击的攻击者与攻击方法,与同一天早些时候发生的WienerDOGE相同。
黑客组织正在销售可以绕过以太坊哈希率限制器的软件:金色财经报道,黑客组织LAPSUS$声称对最近黑掉芯片制造商Nvidia(NVDA)的事件负责,该组织窃取了1TB的内部信息。该组织表示,正在销售一种定制驱动程序,可以帮助矿工绕过安装在 Nvidia 高端游戏卡上的哈希率限制器。
去年,Nvidia为其旗舰产品GeForce GPU引入了hashrate限制器,以便为其核心玩家保留更多产品。在最近的一次华尔街会议上,这家芯片制造商表示,几乎所有基于安培的产品都将加入哈斯勒特限制器,以阻止加密货币矿工使用它们进行挖矿。(coindesk)[2022/3/2 13:31:13]
WienerDOGE攻击流程
CMC创始人:公司从未遭到过黑客攻击:CoinMarketCap在推特举办首席执行官兼创始人BrandonChez的AMA,当被问及AMA格式是出于匿名还是隐私目的时,Chez表示,“我确实重视我的隐私,但我并不完全反对未来尝试更多的AMA格式。Chez表示,“CMC在早期曾数次被DDoS攻击,但我很高兴地说,我们从未遭到过黑客攻击。”有推特用户提到2019年报告称CMC显示虚假交易量的话题。Chez表示,“我们已经发布一个新的度量标准,可以更准确地描述交易所的活动,”Chez提及的是流动性指标。至于Chez是如何进入加密领域的,他指出,2011年比特币资产达到1美元时,他偶然发现一篇关于比特币的文章,此后一直参与其中。[2020/2/29]
攻击者通过闪电贷获得了2900枚BNB。
攻击者将2900枚BNB换成了6,638,066,501,83枚WDOGE
WdogE:199,177,850,468
WBNB:2978
LP的状态:
将5,974,259,851,654枚WDOGE发送到LP,由于WDOGE比BNB多,所以LP现在处于不平衡状态。
WDOGE:5,178,624,112,169
WBNB:2978
LP的状态:
调用skim()函数,从LP中取回4,979,446,261,701枚WDOGE。由于攻击者在调用skim()之前发送了大量的WDOGE,所以LP将支付大量的费用。这一操作清空了LP内的WDOGE的数量。
攻击者还调用可sync()函数来更新LP内的储备值。若干枚WDOGE和2978枚BNB的存在,造成了WDOGE的价格与WBNB相比异常昂贵。
5.最后,攻击者用剩下的WDOGE换回了2978枚BNB,偿还了闪电贷,赚取了78枚BNB。
而其他几个项目被攻击的流程步骤也相似:
闪电贷取得WBNB,并用WBNB换取LP中的通缩代币;
直接将通缩的代币转移到LP对上;
调用skim()函数,迫使LP对输回通缩代币;
由于转让费的存在,攻击者会重复步骤2~3,将LP对中的通缩代币耗尽;
通过LP对中的价格不平衡来获取利润。
合约漏洞分析
当用户转移一定数量的WDOGE时,除了费用,还有4%的代币将被销毁。
因此,如果LP发送100枚WDOGE,其余额将减少104枚WDOGE。
所以,LP应该被排除在费用和代币销毁之外。
资产损失
审计的作用
CertiK审计专家认为:如果同时对代币和LP合约进行审计,这个漏洞就可能被发现。然而,如果只有代币合约被审计,那么交换机制将被视为一个外部依赖。而这种情况在审计过程中将会指出第三方依赖风险。具体为:如果是代币合约,CertiK审计专家将会与项目方讨论,确认是否需要除去LP对的手续费;如果是LP对方的合约,CertiK审计专家会提出通缩币的讨论,并且提醒项目方可能存在的风险。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。