YEED:CertiK:ZEED被盗百万美元资产事件分析

北京时间2022年4月21日下午3时15分,CertiK审计团队监测到ZEED项目被攻击,造成了104万美金的财产损失。被盗取资金被转移至一合约中,而该合约具有自我销毁功能,因此该操作无法逆转,资金无法被追回。

攻击步骤

①攻击者合约从HO-SWAPLP收到662枚YEED代币。

②这662枚YEED代币被发送到BSC-USD-YEED。由于收费机制的存在,一些收费代币也将被发送到3个LP对,分别是:BSC-HO-YEED2;BSC-USD-YEED2,BSC-ZEED-YEED2。

Certihash 与 IBM 合作开发企业区块链安全工具套件:金色财经消息,Certihash宣布了一个基于美国国家标准与技术研究院 (NIST) 网络安全框架开发“Sentinel Node”的项目,这是一套由五个区块链授权的企业实用程序应用程序中的第一个。Certihash 选择 IBM Consulting 来协助软件设计和开发。作为该项目的一部分,IBM Consulting 将使用经过验证的网络设计框架,并利用他们在向企业提供去中心化应用程序方面的丰富经验,致力于最先进的去中心化网络安全基础设施。该应用程序的 MVP 版本计划于 2022 年初秋推出。(finextra)[2022/4/28 2:37:35]

③由于费用计算出错,一些YEED代币也将被错误地创建/发送到LP。

去中心化网络存储协议Ceramic启动Clay测试网 将于Q1末或Q2初启动主网:1月28日消息,去中心化网络存储协议Ceramic宣布正式启动测试网“Ceramic ClayTestnet”,并将于2021年一季度末或二季度初启动Ceramic Fire主网。该测试网运行3个JavaScript客户端,分别为Core客户端、HTTP客户端和CLI。另外,在Clay上创建的文档将无法迁移到主网上。Ceramic Fire主网将包括其他性能优化、完全去中心化的对等点发现机制、网络监控以及其他漏洞修复等。[2021/1/28 14:13:24]

④从这一刻起,每个LP就处于不平衡状态。在每个LP合约中,都有着与其他代币相较过多的YEED代币。

CertiK商务总监昊昂:安全不应该是一种选择,而应该是一种必需品:10月28日,CertiK商务总监昊昂在“了不起的社区2.0 黎明先行者” 上海站活动中表示:安全对于区块链领域来说是重中之重。CertiK针对DeFi市场,发布了一系列链上安全服务:包括链上交易实时防护的安全预言机以及灵活的去中心化保险机制CertiKShield等等。

CertiK主网现已上线,给予区块链系统多方面安全解决方案。

据悉,了不起的社区是区块链行业中以社区为垂直领域的线下资源对接会,上海站是由BKEX冠名、哼哈互动、金色财经、蜂巢财经共同主办。之前已在深圳、杭州、郑州、厦门等城市举办。[2020/10/29]

⑤然后,攻击者将在每个LP上不断循环调用skim(to:LP)函数。该函数是为了重新调整LP内的两种代币的数量,将多余的代币发送到to参数。由于攻击者配置的目的地是LP本身,不平衡将不断增加,更多的奖励代币将被创建。

每一次的转移都会:

从一种LP发送YEED代币到另外一种LP。

向LP发送因错误产生的YEED代币奖励

通过以上方式,攻击者保持了LP内代币的不平衡,并且每次都会增加LP内YEED代币的数量。

比如,我们可以看到在BSC-ZEED-YEED2LP中,最初的YEED的数量是96个。

而当攻击者调用skim(to:attacker_contract)以后,LP中的YEED余额为368,560。

最后一次调用,则将368,560枚代币发送给了攻击者。

攻击者对3个不同的货币对进行处理,总数为87,479,473枚YEED代币:

83,127,354YEED来自BSC-USD-YEEDLP对。

3,983,869YEED来自BSC-HO-YEEDLP对。

368,560YEED来自BSC-ZEED-YEEDLP对。

⑥然后,攻击者进行多次互换,将其收益转换为BSC-USD。

比如,用户A向用户B发送了100个YEED,如果rewardFee是10。

用户B收到90奖励

LPBSC-USD-YEED2收到10奖励

LPBSC-ZEED-YEED2收到10奖励

LPBSC-HO-YEED2收到10奖励

这样以来,就有20枚代币被错误地凭空创建了。

而真正的YEED奖励机制应该运营如下:

50%的奖励费用发送到_balances(LPBSC-USD-YEED2)

25%的奖励费用发送到_balances。

25%的奖励费用发送到_balances(LPBSC-HO-YEED2)。

写在最后

此次事件造成了104万美金的损失。由于资金在合约中,而合约具有自我销毁功能,所以该操作无法复原,即任何人都无法再取出这笔财产,包括攻击者本身。通过审计,我们可以了解到发送到LP的代币将破坏LP的平衡,并且审计也能发现奖励计算机制的错误。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

FTTNFT:动态NFT可以掀起下一波NFT发展的浪潮吗?

NFT在得到Web3社区的广泛应用后,目前正在向主流市场迈进,聚焦大型媒体平台,并引来众多体育明星和公众人物纷纷发行自己的藏品。这使得NFT成为了区块链技术中最受瞩目的应用之一.

火必HOT:Hotcoin關於恢復NEO充提業務的公告

尊敬的用戶:NEO節點升級已完成,Hotcoin現已恢復NEO的充值、提現業務。對您造成的不便深表歉意!感謝您對Hotcoin的支持與信任!HotcoinGlobal2022年4月21日Hotc.

USDT比特币:价格分析 4/18:BTC、ETH、BNB、XRP、SOL

比特币和精选山寨币跌破其直接支撑位,为进一步下跌打开了大门。比特币和大多数主要山寨币在新的一周开始疲软,加密恐惧和贪婪指数已跌至“极度恐惧”区域,表明投资者仍然紧张.

[0:46ms0-0:665ms