COM:New Free DAO攻擊事件分析：閃電貸無成本套利125萬美元-ODAILY_NEW

2022年9月8日，CertiKSkynet天網監測到NewFreeDAO(NFD)項目遭遇了閃電貸攻擊。

漏洞在NFD項目部署的一個未經驗證的獎勵合約中，攻擊者利用閃電貸借入NFD代幣，并將其發送到攻擊合約。隨后攻擊合約則調用未經驗證的獎勵合約，向攻擊者發送更多的NFD代幣。

攻擊者在3次攻擊中重復這個過程，獲取了4481個WBNB，價值約125萬美元。

由于攻擊者大量拋售NFD代幣，該代幣的價格已經暴跌超過99%。

攻擊步驟

MakerDAO計劃將New Silver債務上限提高至2000萬美元:官方消息，MakerDAO發起社區意見征詢，計劃將NewSilver債務上限由目前的500萬美元提升至2000美元，并調整部分承銷指標以符合現行程序及市場情況，從而使貸款形式進一步多樣化并為DAO提供更穩定、高收益的抵押品，此次社區意見征詢截止至7月15日下午4點，并將根據社區反饋結果決定是否發起對應的鏈上提案投票。注，NewSilver是MakerDAO引入真實世界資產（RWA）的首批傳統企業之一，旨在提供高質量的房地產抵押短期過橋貸款，今年4月份NewSilver作為資產發起方使用MakerDAO作為信貸工具獲得了首筆貸款，并設定了500萬DAI的債務上限，迄今未發生違約。[2021/7/5 0:27:33]

①攻擊者部署了一個惡意合約。在同一筆交易中，它調用了以下函數，將自己添加為合約成員。

ZG.COM “NEW+”打新挖礦項目ZGFI今日14:00開啟申購:據ZG.COM官方公告，ZG.COM “NEW+”打新計劃第18期挖礦項目ZGFI于 9月2日14:00-9月3日14:00進行申購，此次申購為USDT專場，可按照1:1比列申購ZGFI，每份100 USDT。

ZGFI是由ZG.COM發行的DEFI挖礦合約，該合約通過專業人士投資到FARM挖礦中。ZGFI參與資金將用于初始投入資金，所得收益的90%歸屬用戶，平臺僅收取10%作為技術審計、市值維護、人員監控等支出，ZGFI會通過智能調度達到最優收益，保障用戶權益。[2020/9/2]

聲音 | EOS NewYork ：智能權限管理可確保賬戶安全:據meet.one報道，EOS NewYork 今日發文分享智能權限管理，通過創建安全模式權限以確保賬戶更加安全。用戶可以把 EOS 賬戶設為安全模式，用單一獨立的權限鎖定質押的 EOS，同時用戶仍可以無縫地享受 EOS 區塊鏈技術。權限管理是 EOS 區塊鏈最強大的功能之一。在 EOS 中，12 個字符的帳戶名稱是最重要的資產，并且是 token 所依賴的。[2019/7/16]

②攻擊者執行了三次閃電貸攻擊，借助第一筆閃電貸款，借入250個WBNB，并將其交易為6,313,508個NFD代幣。

③這些代幣被發送到一些未經驗證的合約中。

分析 | NewsBTC：BCH下一支撐位在717美元:據NewsBTC分析師Aayush Jindal分析，BCH在今日失守730美元支撐位后，將有可能繼續下移至700美元。行情顯示，BCH今日上午8點左右拉升至780美元，隨后震蕩下跌。RSI現報40.73，顯示超賣。面對拋售壓力，BCH曾一度靠近50%斐波那契回撤位，其最近的支撐位約在76.4%斐波那契回撤附近（717美元）。數據顯示，BCH現報725美元，跌幅3.22%。[2018/7/10]

④這調用了0xe2f9d09c，輸入NFD代幣地址0x0000000000000000000038c63a5d3f206314107a7a9fe8cbba29d629d4f9。

⑤這觸發了NFD項目部署的另一個未經驗證的獎勵合約0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e.0x6811e3b9()。

之后，未驗證的合約實際上從獎勵合約中收到了額外的525,283個NFD代幣——總計6,838,792個NFD代幣，這些代幣被發回給了攻擊合約。

⑥在上述交易中，NFD合約錯誤地釋放了額外的525,283NFD。因此當攻擊者完成攻擊時，獲取了總計343,323,371個NFD代幣，在償還了最初的250WBNB貸款后，獲利4481WBNB，總價值約125萬美元。

⑦最后攻擊者通過兩筆交易，將2,000WBNB換為556,556.72USDT。目前攻擊者錢包仍持有2,481WBNB。

漏洞分析

本次攻擊事件的漏洞位于NFD項目部署的一個未經驗證的獎勵合約。由于NFD合約的源代碼在BSCScan上未被驗證，因此還無法確定攻擊者用來利用合約的確切機制。

資金去向

攻擊者總共獲得了4481個WBNB，并將其中的2000個換成了55.7萬枚USDT，剩下的WBNB仍然在攻擊者的賬戶中。

將2000WBNB交易為USDT的兩筆交易：

https://bscscan.com/tx/0x8c035fc9c3d944b3dd4a0ea721c119240cb624e79b7625a16173ad6682410599

https://bscscan.com/tx/0xda4b4de6ecacfe9b8b60167a2010630aeec103ab51920eb2e1b94ba1fef6c95b

相關地址

攻擊者賬戶：

https://bscscan.com/address/0x22c9736d4fc73a8fa0eb436d2ce919f5849d6fd2

攻擊合約：

https://bscscan.com/address/0xa35ef9fa2f5e0527cb9fbb6f9d3a24cfed948863

未經驗證的獎勵合約：

https://bscscan.com/address/0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e

WBNB-USDT對：

https://bscscan.com/address/0x16b9a82891338f9ba80e2d6970fdda79d1eb0dae

USDT-NFD對：

https://bscscan.com/address/0x26c0623847637095655b2868c3182b2285bdaeaf

寫在最后

攻擊發生后，CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時，CertiK也會持續于官方公眾號發布與項目預警相關的信息。

CertiK的端到端安全解決方案，從智能合約審計和KYC項目背景調查服務，到Skynet天網動態掃描系統和SkyTrace等區塊鏈分析工具，以及漏洞賞金計劃，助力每一個項目充分發揮潛力的同時為Web3.0打造用戶和投資者高參與的生態系統。

Tags：NFDCOMNEWWBNBINFD幣BidCommerceNEWO價格wbnb和bnb區別和聯系

聚幣