2022年5月21日,成都链安链必应-区块链安全态势感知平台舆情监测显示, bDollar项目遭受价格操控攻击,攻击者获利2381WBNB(价值约73万美元)。成都链安技术团队第一时间对事件进行了分析,结果如下。
#1 项目相关信息
Coin Metrics:BSV遭受“大规模”的51%攻击:在昨天的一次攻击未遂之后,从美国东部时间周二上午11:45(北京时间8月3日23:45)左右开始,BSV遭受了“大规模”的51%攻击,导致该链的三个版本同时被挖掘。Coin Metrics随后证实,其FARUM风险管理平台已识别出51%攻击。Coin Metrics网络数据产品经理Lucas Nuzzi表示:“有人正试图摧毁BSV。在超过3个小时的时间里,攻击者已能够接管该链。在此期间收到BSV存款的所有交易所可能都被双花了。”目前尚不清楚攻击是否已经结束,或者攻击者是否只是在休息。Coin Metrics的更新证实,其FARUM节点见证了“最大深度为14个区块的深度重组”。尽管没有观察到进一步的重组事件,但主要矿池之间仍然存在“同步冲突”。(Cointelegraph)[2021/8/4 1:32:53]
由 Bearn.fi 提供的 bDollar 是币安智能链上的第一个算法稳定币,它可以确定性地调整其供应量,将代币的价格向目标价格方向移动,从而为 DeFi 带来可编程性和互操作性。
动态 | EOS竞猜类游戏SKReos再次遭受攻击:Beosin(成都链安)态势感知系统报警:从昨日晚间开始截止目前,skreosladder游戏再次遭受黑客攻击,黑客目前已经获利数千eos。经成都链安安全人员初步分析,黑客仍然采用的是交易阻塞的攻击方式,不过较为不同的是黑客控制大量账户同时下注,再由多个账户进行推块操作由于参与攻击的账户众多。账户之间联系性不明显,攻击隐蔽性高。成都链安在此提醒项目方提高警惕并重视安全防范,以避免造成更多的资产损失。[2019/8/10]
#2 事件相关信息
攻击交易
动态 | 韩国Allstarbit否认遭受黑客攻击:今日韩国虚拟货币交易所Allstarbit发布公告,对个人资料流出进行致歉。但是对于是否遭受黑客攻击的问题进行解答时称,虽然个人资料流出,但并不是遭受黑客攻击’。[2018/10/18]
0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4
攻击者地址
0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e
攻击合约
动态 | EOS备选节点CryptoLions复盘丛林测试网遭受攻击全过程:EOS备选节点CryptoLions发文,复盘了丛林测试网遭受攻击和恢复的过程。攻击者滥用丛林测试网的faucet,用测试网上的代币投票给不生产区块的节点,从而导致测试网罢工。CryptoLions提到,这次攻击不会发生在EOS主网上,因为EOS主网没有faucet。[2018/9/11]
0x6877f0d7815b0389396454c58b2118acd0abb79a
被攻击合约
0xeaDa3d1CCBBb1c6B4C40a16D34F64cb0df0225Fd
1、通过闪电贷借出670WBNB。
2、 将其分成多份分别转入到WBNB/BDO、BUSD/BDO等多个池子进行兑换,拉高BDO的价格。
3、攻击者接着借出30,516 cake用于后续攻击:调用DAO Fund合约中的claimAndReinvestFromPancakePool函数,该函数将cake兑换成400个wbnb,且触发了200WBNB兑换BDO,然而最后会调用_addLiquidity,用合约中的WBNB去添加流动性。此时由于BDO价格很高,导致添加流动性时需要使用项目方合约中大量的WBNB,相当于项目方高位接盘。
4、最后攻击者通过pancake兑换出WBNB,归还闪电贷,获利2381 WBNB。
本次攻击主要利用了DAO fund代理合约CommunityFund中claimAndReinvestFromPancakePool函数在添加流动性时的设计漏洞,未充分考虑到价格被恶意拉高后,项目方会在添加流动性时,用自己合约内的资金被动高位接盘的情况。
截止发文时,被盗资金还未被攻击者转出,仍存在攻击合约中:0x6877F0D7815b0389396454C58b2118ACD0aBB79A。
针对本次事件,成都链安技术团队建议:
1、合约在设计时应充分考虑可能遇到的攻击,尽量完善其安全设计;
2、项目上线前,建议选择专业的安全审计公司进行全面的安全审计,规避安全风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。