据CertiK安全团队监测,,WienerDOGE项目于北京时间2022年4月24日下午4时33分被恶意利用,造成了3万美元的损失。攻击者利用WDODGE的收费机制和交换池之间的不一致,发起了攻击。
事件发生的根本原因是:通过紧缩的代币合约造成发送方的LP对没有被排除在转账费用之外。因此,攻击者能够将LP对中的通货紧缩代币耗尽,进而导致货币对价格失衡。
而随后于同一天接连发生了另外三起恶意利用:
同天下午6时20分,LastKilometer项目被闪电贷攻击利用,造成了26495美元的损失;
同天晚上9时45分,Medamon项目被闪存贷攻击利用,造成3159美元的损失;
Degen Zoo疑似遭黑客攻击,目前官方已暂停游戏启动调查:4月2日消息,据官方Telegram公告显示,DAO Maker项目Degen Zoo疑似在Binance Oracle上被黑客攻击。项目团队目前已暂停游戏,并启动调查,并表示截至14时尚未发现任何的漏洞,并且没有办法通过智能合约的错误来孵化更好的动物。目前官方Telegram已被禁言。
此外,另据BscScan区块浏览器显示,地址:0x8E…3c3c在13:06-13:32间在WDZOO开箱中销毁了约200万枚DZOO(约5.8万美元),显示异常情况。[2023/4/2 13:40:42]
紧接着,PI-DAO项目被闪存贷攻击利用,造成了6445美元的损失。
万向区块链黑客松公布第二批入围决赛项目名单:9月19日消息,2021万向区块链黑客马拉松公布第二批入围决赛项目的名单,包括11个项目:Web3go、UniPass、Witness、DE-PART、Magic Farm、AdvaitaHealth非二健康、Walnut、Web3 先锋队、链影 NFTmovie、Dandelion Network、基于数字孪生的元宇宙交易平台。另外,本届万向区块链黑客马拉松报名及项目提交通道将于9月30日24时关闭。[2021/9/19 23:36:32]
这一系列攻击的攻击者与攻击方法,与同一天早些时候发生的WienerDOGE相同。
WienerDOGE攻击流程
Tokenlon DEX:Uniswap的imBTC池遭到黑客攻击并已耗尽:Tokenlon DEX刚刚发推称,Uniswap上imBTC池今日遭到攻击并已耗尽,黑客利用Uniswap上ERC777代币进行攻击。现已暂停imBTC转移,托管中的BTC不会受到影响。[2020/4/18]
攻击者通过闪电贷获得了2900枚BNB。
攻击者将2900枚BNB换成了6,638,066,501,83枚WDOGE
WdogE:199,177,850,468
WBNB:2978
LP的状态:
将5,974,259,851,654枚WDOGE发送到LP,由于WDOGE比BNB多,所以LP现在处于不平衡状态。
动态 | 媒体:币安KYC资料再遭直播 黑客与币安谈判记录全曝光:8月14日消息,名为Guardian J的用户像此前的Guardian M一样,开始在电报群里小范围地直播币安KYC资料。此次所泄露的资料注册时间均为2018年2月26日。 根据黑客与币安工作人员完整对话截图文件,对话双方为黑客John Amat和币安工作人员Symbiotic。该黑客身份目前暂时无法查证,经过在币安官方电报群进行查证,确实存在名为Symbiotic的工作人员。文件主要披露以下信息: 1. 黑客称币安内部有内鬼,币安工作人员称之前也被告知过这个信息。 2. 黑客展示了其手中拥有的币安用户KYC资料,且币安并不清楚这些资料的来源。 3. 黑客愿意披露盗币黑客以及币安内鬼的相关信息,但要求币安分期付300个BTC。 截图信息显示,对话发生在7月10日-7月20日之间。这早于黑客Guardian M直播币安KYC资料,同时也早于Coindesk披露“黑客与币安首席增长官林义翔谈判”的时间。就这份对话截图的真实性,币安CMO何一表示,这些截图真实性尚待验证。如果任何人能够提供对币安安全有用的信息,币安都愿意付币,黑客在勒索过程中没有提供真正有效的信息。(深链财经)[2019/8/14]
WDOGE:5,178,624,112,169
WBNB:2978
LP的状态:
调用skim()函数,从LP中取回4,979,446,261,701枚WDOGE。由于攻击者在调用skim()之前发送了大量的WDOGE,所以LP将支付大量的费用。这一操作清空了LP内的WDOGE的数量。
攻击者还调用可sync()函数来更新LP内的储备值。若干枚WDOGE和2978枚BNB的存在,造成了WDOGE的价格与WBNB相比异常昂贵。
5.最后,攻击者用剩下的WDOGE换回了2978枚BNB,偿还了闪电贷,赚取了78枚BNB。
而其他几个项目被攻击的流程步骤也相似:
闪电贷取得WBNB,并用WBNB换取LP中的通缩代币;
直接将通缩的代币转移到LP对上;
调用skim()函数,迫使LP对输回通缩代币;
由于转让费的存在,攻击者会重复步骤2~3,将LP对中的通缩代币耗尽;
通过LP对中的价格不平衡来获取利润。
合约漏洞分析
当用户转移一定数量的WDOGE时,除了费用,还有4%的代币将被销毁。
因此,如果LP发送100枚WDOGE,其余额将减少104枚WDOGE。
所以,LP应该被排除在费用和代币销毁之外。
资产损失
审计的作用
CertiK审计专家认为:如果同时对代币和LP合约进行审计,这个漏洞就可能被发现。然而,如果只有代币合约被审计,那么交换机制将被视为一个外部依赖。而这种情况在审计过程中将会指出第三方依赖风险。具体为:如果是代币合约,CertiK审计专家将会与项目方讨论,确认是否需要除去LP对的手续费;如果是LP对方的合约,CertiK审计专家会提出通缩币的讨论,并且提醒项目方可能存在的风险。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。