POL:Dot Finance閃電貸安全事件分析-ODAILY_CAKE

前言

8月25日，知道創宇區塊鏈安全實驗室監測到BSC鏈上的DeFi協議DotFinance遭遇閃電貸襲擊，價值跌落近35%。實驗室第一時間跟蹤本次事件并分析。

涉及對象

黑客地址：

0xDFD78a977c08221822F6699AD933869Da6d9720C

DOT跌破36美元關口 日內跌幅為9.82%:火幣全球站數據顯示，DOT短線下跌，跌破36美元關口，現報35.9美元，日內跌幅達到9.82%，行情波動較大，請做好風險控制。[2021/5/13 21:56:29]

攻擊合約地址：

0x33f9bB37d60Fa6424230e6Cf11b2d47Db424C879

受害合約地址：

0x16fd050f05f8fc361cf9083aa3f624a2bf7e914d0xbfca3b1df0ae863e966b9e35b9a3a3fee2ad8b07

Polkadot財政庫將在5天后進行DOT銷毀:Polkadot網絡治理體系的財政庫(Treasury)將會在大約5天13小時后銷毀未花費預算的1%，根據目前財政庫的所有提案預算(available)，當前預計銷毀個數為6.4萬個DOT(new)，折合價值約25萬USDT。（PolkBase）[2020/8/25]

攻擊涉及主要函數分析

分析交易哈希

0x68170a309ab2e944e178ccf9bf6f19e25a3f356031ce53539bb9669fc77172f2

聲音 | 以太坊核心開發者：Polkadot不是以太坊的直接競爭對手:近日，以太坊核心開發人員、Parity發布經理Afri Schoedon接受BreakerMag采訪時確認，將不再參與以太坊或以太坊相關項目，但仍將留在Parity。他還解釋了最近推文的含義：Polkadot不是以太坊的直接競爭對手，像以太坊這樣的區塊鏈始終是Polkadot愿景中不可或缺的部分。我的推文的焦點不是Polkadot或競爭對手，而是Serenity。在我看來，Serenity推出的速度太慢，我擔心一旦到達那里，它就不再重要了。此前，Schoeden曾發推批評Serenity，并稱Polkadot正在做得更好。之后，他發推解釋稱自己沒有退出社交媒體，而是退出以太坊社區；自己沒有從事Polkadot的工作，也不討厭以太坊。不過，這些推文已經被刪除。[2019/2/23]

swap函數

1.整個交易都始于PancakePairswap函數

2.為攻擊提供資金支持

getreward函數

1.使用balanceOf(address(this))獲取CAKE代幣余額

2.通過CAKE代幣余額來鑄造獎勵

簡要過程及原理分析

1.黑客使用PancakeSwap閃電貸獲得初始資金100Cake代幣；

2.通過將Cake代幣打入VaultPinkBNB合約，來影響getReward函數獲取合約Cake代幣真實值，同時performanceFee參數受Cake代幣真實值影響數值巨大；

3.最后mintFor函數使用受影響的performanceFee參數向黑客鑄造大量pink代幣獎勵；

總結

此次攻擊屬于PancakeBunny同類型的攻擊事件，迄今為止此類攻擊事件已發生多次，知道創宇區塊鏈安全實驗室再次提醒，近期BSC鏈上頻頻爆發攻擊事件，合約安全愈發需要得到迫切重視，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：DOTPOLCAKE以太坊dot幣發行量多少枚POLZ幣Cake Girl以太坊幣怎么挖礦網站下載

芝麻開門交易所