買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > 比特幣 > Info

SDO:SafeDollar 歸零 Polygon生態的“潘多拉魔盒”已打開?_SAFEGALAXY 價格

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間6月28日,鏈必安-區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)輿情監測顯示,Polygon生態算法穩定幣項目SafeDollar遭到黑客攻擊。攻擊事件發生后,SafeDollar項目所發行的穩定幣(SDO)價格從1.07美元,瞬間跌至歸零。

有消息指出,一份未經證實的合約抽走了25萬美元的USDC和USDT;后經Rugdoc.io分析證實,此次攻擊事件中黑客總共獲利價值25萬美元的USDC和USDT。隨后,SafeDollar項目方發布公告,要求投資者停止所有與SDO相關的交易。目前,SDO交易已暫時中止。

鑒于此次攻擊事件所具備的標志意義,成都鏈安·安全團隊第一時間介入分析。繼5月初BSC(幣安智能鏈)諸多鏈上項目頻頻被黑之后,6月末Polygon生態也開始被黑客盯上,“潘多拉魔盒”是否已經悄然開啟?借此事件,成都鏈安通過梳理攻擊流程和攻擊手法,提醒Polygon生態項目加強安全預警和防范工作。

多簽錢包Gnosis Safe已完成第二次回溯空投快照:金色財經消息,Gnosis團隊產品經理Lukas Schor在推特上表示,多簽錢包Gnosis Safe已完成面向用戶的第二次回溯空投快照,但并未透露快照的具體區塊高度。

此前消息,GnosisDAO關于分拆Gnosis Safe并推出SAFE代幣的提案已通過,SAFE代幣將用來管理Gnosis Safe生態系統和基礎設施。同時,GnosisDAO將在瑞士設立獨立的Safe基金會,以保護戰略性的鏈下資產(IP、Github存儲庫、戰略投資)。根據該提案,Safe基金會將鑄造10億枚SAFE代幣。[2022/5/21 3:31:36]

Polygon上算法穩定幣項目SafeDollar疑似遭到黑客攻擊:6月28日消息,Polygon上算法穩定幣項目SafeDollar疑似遭到黑客攻擊,一份未經證實的合約似乎抽走了25萬美元的USDC和USDT。目前,SDO交易已暫時中止。區塊鏈安全團隊SharkTeam正在對事件進行進一步分析。[2021/6/28 0:11:17]

二、事件分析

此次攻擊事件中,攻擊者利用PLX代幣轉賬時實際到賬數量小于發送數量以及SdoRewardPool合約抵押和計算獎勵上存在的邏輯缺陷,借助“閃電貸”控制SdoRewardPool合約中抵押池的抵押代幣數量,進而操縱獎勵計算,從而獲得巨額的SDO獎勵代幣,最后使用SDO代幣將SDO-USDC和SDO-USDT兩種兌換池中USDC和USDT全部兌換出來。

ETC Labs將與Chainsafe合作推出ETC跨鏈資產rETC:10月30日消息,ETC Labs將與Chainsafe合作于下月推出跨鏈資產 rETC。持有ETC資產的用戶可以在以太坊經典區塊鏈上通過智能合約鎖定其資產,而在以太坊區塊鏈上得到對應資產rETC,然后通過rETC參與ETH生態項目。[2020/10/30 11:14:40]

攻擊者地址:

0xFeDC2487Ed4BB740A268c565daCdD39C17Be7eBd

攻擊合約:

0xC44e71deBf89D414a262edadc44797eBA093c6B0

0x358483BAB9A813e3aB840ed8e0a167E20f54E9FB

SafePal錢包宣布支持針對TRX持有者的JST空投計劃:據官方消息,SafePal錢包宣布支持針對TRX持有者的JST空投計劃。SafePal 是 Binance Labs 投資的硬件錢包項目,致力于為加密貨幣用戶提供一個安全、易用、方便、性價比高的錢包,讓用戶隨時隨地安全快捷地交易,保護用戶資產安全和隱私。JUST是在波場TRON上運行的第一個DeFi項目,旨在打造基于波場TRON的穩定幣借貸平臺,同時也是全球領先數字交易平臺、交易量曾登頂全球Top3的Poloniex LaunchBase首期上線項目。JUST是一個雙代幣系統。第一個代幣USDJ是按1:1的匯率與美元掛鉤的穩定幣,是通過JUST的CDP門戶抵押TRX產生的。第二個代幣JST,可用于支付利息,平臺維護,通過投票參與治理以及JUST平臺上的其他活動。[2020/5/29]

攻擊交易:

美國證券TOKEN和SAFT協定認可度提升:根據Elementus Protocol顯示,在SEC填寫FORM D表格以注冊發行證券(TOKEN或者可轉換TOKEN的形式)的機構逐漸增多,去年4月17日僅有1家申請,而今年3月18日該數字上升到38家。[2018/4/27]

0xd78ff27f33576ff7ece3a58943f3e74caaa9321bcc3238e4cf014eca2e89ce3f

0x4dda5f3338457dfb6648e8b959e70ca1513e434299eebfebeb9dc862db3722f3

0x1360315a16aec1c7403d369bd139f0fd55a99578d117cb5637b234a0a0ee5c14

以下分析基于以下兩筆交易:

攻擊者首先使用PolyDex的WMATIC和WETH池進行PLX借貸,如下圖所示:

接下來,攻擊者通過攻擊合約反復進行抵押提取,主要是為了減少SdoRewardPool合約中SDO抵押池中的抵押代幣數量。

PLX代幣合約進行代幣轉移時,如果from地址不在_isExcludedFromFee列表中,并且to地址也不在_isExcludedToFee列表中,會對轉移的代幣收取一次獎勵基金以及銷毀本次轉移代幣數量的0.05%。

而在SdoRewardPool合約中,記錄的數量為調用者所轉移的數量,沒有減去轉移過程中損耗的部分,在進行提取操作時,提取的數量為記錄的數量,超出了用戶實際抵押到本合約的數量,故會造成該抵押池中抵押代幣的異常減少。

攻擊者事先通過攻擊合約

(0x358483BAB9A813e3aB840ed8e0a167E20f54E9FB)在該抵押池中抵押214.235502909238707603 PLX,在攻擊合約

(0xC44e71deBf89D414a262edadc44797eBA093c6B0)攻擊完成后,控制攻擊合約

(0x358483BAB9A813e3aB840ed8e0a167E20f54E9FB)在該抵押池中進行獎勵領取,由于SdoRewardPool合約中更新抵押池信息時使用的是balanceOf函數獲取本合約中抵押代幣數量,故獲取到的數量是惡意減少之后的數量,繼而造成PLX抵押池中accSdoPerShare變量異常增大,從而獲取到巨額的SDO代幣獎勵。

最后利用獲取到的SDO代幣將SDO-USDC和SDO-USDT兩種兌換池中USDC和USDT全部兌換出來。

三、事件復盤

事實上,此次攻擊事件并不復雜,但是值得引起注意。首先添加抵押池時添加了非標準代幣,再加上計算獎勵時使用了balanceOf函數進行抵押代幣數量的獲取,所以導致了此次攻擊事件的發生。

從安全審計的角度看,項目方作為添加抵押池的管理員,對于將要添加的抵押池中的抵押貸幣,一定要三思而后行。通脹通縮類以及轉移數量與實際到賬數量不同的代幣,不建議作為抵押池的抵押代幣;如果因業務需要一定要添加這些類型的代幣作為獎勵代幣,務必與其他標準代幣分開處理。同時在抵押池中建議使用一個單獨的變量作為抵押數量的記錄,然后計算獎勵時,使用通過此變量來獲取抵押代幣數量,而不是使用balanceOf函數。

另外,此次攻擊事件對于Polygon生態鏈上項目而言,是否會是一個“危險信號”,Polygon生態的“潘多拉魔盒”是否會就此打開,這還需要觀望后續態勢發展。不過,回望5月,BSC生態發生第一起閃電貸攻擊之后,便就此拉開了“BSC黑色五月”序幕。鑒于前車之鑒,成都鏈安在此提醒,Polygon生態鏈上項目未雨綢繆,切實提高安全意識!

Tags:SAFESDOUSDPOLSAFEGALAXY 價格MESSDOGE價格usdc幣最新消息poloniex兌沖金

比特幣
AMA:技術周刊|以太坊2.0已敲定過渡到PoS的規范_區塊鏈技術的應用

本周技術周刊包含比特幣、以太坊、Kusama、Filecoin四個網絡的技術類消息。比特幣礦工將迎來有史以來最大的難度調整金色財經報道,根據加密貨幣礦池Slush Pool的說法,根據最近的出塊.

1900/1/1 0:00:00
FON:晚間必讀5篇 | 比特幣遭遇“算力夢魘”后會一蹶不振嗎?_NDSK價格

1.金色觀察丨比特幣遭遇“算力夢魘”后會一蹶不振嗎?自6月19日四川省清退挖礦之后,比特幣全網算力就一直在下跌.

1900/1/1 0:00:00
DEFI:金色DeFi日報 | SushiSwap集成ArcherDAO的MEVshield以保護交易者_nSights DeFi Trader

DeFi數據 1.DeFi總市值:742.35億美元 市值前十幣種排名數據來源DeFiboxDeFi總市值數據來源:Coingecko2.過去24小時去中心化交易所的交易量:21.

1900/1/1 0:00:00
SWAP:金色DeFi日報 | Visa加密貨幣部門聘請多位NFT和DeFi等領域專家_DEF

DeFi數據 1.DeFi總市值:670.93億美元 市值前十幣種排名數據來源DeFiboxDeFi總市值數據來源:Coingecko2.過去24小時去中心化交易所的交易量:30.

1900/1/1 0:00:00
數字貨幣:金色早報 | 比特幣日交易量跌至2021年低點_以太坊

頭條 ▌比特幣日交易量跌至2021年低點金色財經報道,Arcane Research的一份報告顯示,比特幣的每日交易量已降至2021年最低點.

1900/1/1 0:00:00
SWAP:一文了解Uniswap v3 LP 自動化管理器_ScarySwap.Io

注:原文作者是ビビドット (@vividot) 。在這篇文章中,我將介紹稱為Uniswap v3 LP 自動化管理器(Automated Manager)的服務.

1900/1/1 0:00:00
ads