前言
北京時間2022年4月30日,知道創宇區塊鏈安全實驗室監測到BSC鏈上的bDollar項目遭到價格操縱攻擊,導致損失約73萬美元。
知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。
基礎信息
攻擊者地址:0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e
攻擊合約:0x6877f0d7815b0389396454c58b2118acd0abb79a
Celer將為Aptos生態系統項目構建跨鏈橋:9月30日消息,據官方推特表示,Celer Network正在通過Aptos的生態系統項目構建越來越多的跨鏈用例。[2022/9/30 6:04:07]
tx:0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4
CommunityFund合約:0xEca7fC4c554086198dEEbCaff6C90D368dC327e0
漏洞分析
漏洞關鍵在于CommunityFund合約中的claimAndReinvestFromPancakePool方法在使用Cake代幣進行代幣轉換時,會對換取的WBNB數量進行判斷并且會自動把換取的WBNB的一半換為BDO代幣;而之后合約會自動使用合約中的WBNB為池子添加流動性,若此時BDO代幣的價值被惡意抬高,這將導致項目方使用更多的WBNB來為池子添加流動性。
加密基礎設施公司Valory完成400萬美元種子輪融資:金色財經報道,加密基礎設施公司Valory宣布完成400萬美元種子輪融資,本輪融資由True Ventures領投,Signature Ventures、Semantic Ventures、Prime Block Venturees、Proof Group和Atka參投。
Valory于2021中期推出,旨在幫助開發人員通過真正的“自主性”(即確保透明度并減少人為干預)來構建支持鏈外協議的應用,即支持鏈上運行的去中心化屬性,又能在鏈下高效執行某些操作和未記錄在區塊鏈上的數據。(SiliconAngle)[2022/10/12 10:32:48]
A股收盤:深證區塊鏈50指數上漲2.18%:金色財經消息,A股收盤,上證指數報3278.1點,收盤上漲1.55%,深證成指報12532.65點,收盤上漲0.98%,深證區塊鏈50指數報2893.91點,收盤上漲2.18%。區塊鏈板塊收盤上漲3.18%,數字貨幣板塊收盤上漲2.92%。[2022/7/18 2:20:32]
而最為關鍵的是,攻擊者實施攻擊前,在WBNB/BDO、Cake/BDO、BUSD/BDO池子中換取了大量BDO代幣導致BDO價格被抬高。
Integrated Ventures與Compute North簽署了一份為期5年的加密貨幣挖礦服務托管合同:金色財經報道,Integrated Ventures與Compute North簽署了一份為期5年的加密貨幣挖礦服務托管和托管合同,Integrated Ventures 的首席執行官Steve Rubakh稱,從7 月 15 日開始,Integrated Ventures 計劃開始向位于德克薩斯州Wolf Hollow的Compute North 最新設施運送最近從比特大陸購買的1575臺S19J Pro礦機。
Integrated預計將在8月中旬完成全面部署。在NE、TX和PA的3個托管地點之間,公司預計將有超過3,000名礦工在線,使用超過10MW的電力。完成這5MW托管交易并滿足存款要求,Integrated能夠從BHP Capital獲得一筆50萬美元的股權融資。[2022/7/6 1:56:02]
在我們對攻擊交易進行多次分析之后,發現事情并沒有那么簡單,該次攻擊極有可能是被搶跑機器人搶跑交易了,依據如下:
1、該筆攻擊交易比BSC鏈上普通交易Gas費高很多,BSC鏈上普通交易默認Gas費為5Gwei,而該筆交易竟高達2000Gwei。
2、我們發現該攻擊合約與攻擊者地址存在多筆搶跑交;
3、我們在相同區塊內找尋到了真實攻擊者的地址與交易,該交易被回滾了。
攻擊流程
1、攻擊者使用閃電貸貸款670枚WBNB;
2、之后攻擊者將WBNB在各個池子中換取大量BDO代幣;
3、隨后攻擊者再次使用閃電貸貸款30516枚Cake代幣;
4、將貸款的Cake代幣進行swap,換取400WBNB,其中200枚被協議自動換取為BDO代幣;
5、攻擊者將WBNB換取Cake代幣用于歸還閃電貸;
6、最后,攻擊者將升值后的3,228,234枚BDO代幣換取3020枚WBNB,還款閃電貸671枚,成功套利2381枚WBNB價值約73萬美元。
總結
本次攻擊事件核心是合約會為流動性池自動補充流動性,而未考慮代幣價格是否失衡的情況,從而導致項目方可能在價格高位對流動性進行補充,出現高價接盤的情況。
建議項目方在編寫項目時多加注意函數的邏輯實現,對可能遇到的多種攻擊情況進行考慮。
在此提醒項目方發布項目后一定要將私鑰嚴密保管,謹防網絡釣魚,另外,近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
Tags:WBNBBDOBNBTURowbnbshibdoge幣有價值嗎BABYBNBTIGERAstra Guild Ventures
目前,Chainlink一共建立了900多個獨特的預言機網絡,為多鏈生態中的各個智能合約保障了數百億美元的價值.
1900/1/1 0:00:00據最新消息,6月21日,SUN.io上的2pool(USDD/USDT)礦池APY最高達45.49%,為全網最高。加入SUN.io2pool穩定幣挖礦,即可享受豐厚的USDD+SUN雙幣獎勵.
1900/1/1 0:00:00作為全球最受歡迎的公鏈之一,波場TRON自創立以來始終保持高速發展,生態建設全面開花,各項數據突飛猛進。我們整理了波場TRON取得的輝煌成就,與大家共同見證波場TRON的發展歷程.
1900/1/1 0:00:00重點 ?切源于資源定價 FuelV1是在以太坊上推出的第?個optimisticrollup,是?前唯?具有欺詐證明、不可變的智能合約和?許可區塊?產的rollup。它是為P2P?付設計的.
1900/1/1 0:00:006月25日是波場TRON獨立日四周年紀念日,感謝社區用戶的一路陪伴。 波場TRON用戶數突破6900萬:2021年12月29日,根據TRONSCAN最新數據顯示,波場TRON賬戶總數達到69,0.
1900/1/1 0:00:00據最新消息,截至6月22日,SUN.io上的2pool(USDD/USDT)礦池APY高達39%,質押價值超過1億美元,流動性價值超過2.4億美元.
1900/1/1 0:00:00