WDO:黑客四連擊，近期項目被攻擊事件分析-ODAILY_WDOG價格

北京時間2022年4月24日下午4時33分，CertiK審計團隊監測到WienerDOGE項目被惡意利用，造成了3萬美元的損失。攻擊者利用WDODGE的收費機制和交換池之間的不一致，發起了攻擊。

事件發生的根本原因是：通過緊縮的代幣合約造成發送方的LP對沒有被排除在轉賬費用之外。因此，攻擊者能夠將LP對中的通貨緊縮代幣耗盡，進而導致貨幣對價格失衡。

而隨后于同一天內接連發生了另外三起惡意利用：

Tether 將與多鏈黑客相關的以太坊地址列入黑名單:金色財經報道，據 Etherscan 數據，穩定幣發行商 Tether凍結了一個持有價值超過 715,000 美元USDT 的以太坊地址。根據 Etherscan 對涉及錢包的交易的標記以及分析，該地址可追溯到近一個月前在跨鏈橋 Multichain 上竊取 300 萬美元加密貨幣的黑客。Multichain 的黑客攻擊是由一個安全漏洞造成的，該項目背后的團隊在 1 月份警告用戶注意這一點。應執法部門的要求，1 月中旬，三個擁有超過1.6 億美元 USDT的地址被凍結。在多個區塊鏈上發行代幣的 Tether 在 2017 年發生違規事件后開始將地址列入黑名單，該公司表示，3000 萬美元的 USDT 被盜。（Coindesk）[2022/2/14 9:49:19]

下午6時20分，LastKilometer項目被閃電貸攻擊利用，造成了26495美元的損失；

聲音 | Jake Chervinsky：KYC使公眾容易受到黑客攻擊，網絡釣魚和身份盜用:據cointelegraph報道，在BitMEX數據泄露后，Compound總法律顧問Jake Chervinsky表示，KYC是一把雙刃劍，KYC幫助執法部門追蹤非法交易，但也使公眾容易受到黑客攻擊，網絡釣魚和身份盜用。現在是我們重新考慮是否值得這樣做的時候了。Chervinsky還承認，他不知道BitMEX使用的識別程序的細節，但他聲稱“使用基于賬戶的模型是KYC的一種形式。”在中央服務器上儲存大量的個人身份信息(PII)會產生嚴重影響。[2019/11/3]

晚上9時45分，Medamon項目被閃存貸攻擊利用，造成3159美元的損失；

動態 | 美國當局起訴兩名黑客 涉嫌攻擊去中心化交易所EtherDelta:據TheBlock消息，美國加州北區檢察官辦公室近日指控Elliot Gunton和Anthony Tyler Nashatka涉嫌在2017年12月入侵建立在以太坊區塊鏈上的去中心化交易所 EtherDelta（以德）。根據起訴書，這兩名黑客修改了EtherDelta的域名系統設置，以欺騙交易所的用戶，獲取他們的加密貨幣地址、私鑰，并從這些加密貨幣地址中提取資金。根據起訴書，這兩名黑客從EtherDelta的一名用戶那里竊取了至少80萬美元的加密貨幣。法庭文件沒有提供黑客竊取的總金額的細節。[2019/9/22]

緊接著，PI-DAO項目被閃存貸攻擊利用，造成了6445美元的損失。

動態 | EOS Royale游戲遭受黑客攻擊，黑客目前共獲利18000eos:Beosin（成都鏈安）態勢感知系統報警：今日下午13:30左右，EOS Royale游戲遭受黑客攻擊，黑客目前共獲利18000eos左右，已聯系項目方未得到回應。[2019/8/4]

這一系列攻擊的攻擊者與攻擊方法，與同一天早些時候發生的WienerDOGE相同。

攻擊步驟

①攻擊者通過閃電貸獲得了2900枚BNB。

②攻擊者將2900枚BNB換成了6,638,066,501,83枚WDOGE。

●LP的狀態：

○WdogE:199,177,850,468

○WBNB:2978

③將5,974,259,851,654枚WDOGE發送到LP，由于WDOGE比BNB多，所以LP現在處于不平衡狀態。

●LP的狀態：

○WDOGE:5,178,624,112,169

○WBNB:2978

④調用skim()函數，從LP中取回4,979,446,261,701枚WDOGE。由于攻擊者在調用skim()之前發送了大量的WDOGE，所以LP將支付大量的費用。這一操作清空了LP內的WDOGE的數量。

攻擊者還調用可sync()函數來更新LP內的儲備值。若干枚WDOGE和2978枚BNB的存在，造成了WDOGE的價格與WBNB相比異常昂貴。

⑤最后，攻擊者用剩下的WDOGE換回了2978枚BNB，償還了閃電貸，賺取了78枚BNB。

而其他幾個項目被攻擊的流程步驟也相似：

閃電貸取得WBNB，并用WBNB換取LP中的通縮代幣；

直接將通縮的代幣轉移到LP對上；

調用skim()函數，迫使LP對輸回通縮代幣；

由于轉讓費的存在，攻擊者會重復步驟2~3，將LP對中的通縮代幣耗盡；

通過LP對中的價格不平衡來獲取利潤。

漏洞分析

當用戶轉移一定數量的WDOGE時，除了費用，還有4%的代幣將被銷毀。

因此，如果LP發送100枚WDOGE，其余額將減少104枚WDOGE。

所以，LP應該被排除在費用和代幣銷毀之外。

資產去向

寫在最后

如果同時對代幣和LP合約進行審計，這一風險因素就可以被發現。

然而，如果只有代幣合約被審計，那么交換機制將被視為一個外部依賴。

而這種情況在審計過程中將會指出第三方依賴風險。具體為：如果是代幣合約，CertiK審計專家將會與項目方討論，確認是否需要除去LP對的手續費；如果是LP對方的合約，CertiK審計專家會提出通縮幣的討論，并且提醒項目方可能存在的風險。

Tags：DOGDOGEWDOWDOGbabydoge幣要歸零了doge幣價格走勢WDOG價格

Ethereum