2022年9月8日,CertiKSkynet天網監測到NewFreeDAO(NFD)項目遭遇了閃電貸攻擊。
漏洞在NFD項目部署的一個未經驗證的獎勵合約中,攻擊者利用閃電貸借入NFD代幣,并將其發送到攻擊合約。隨后攻擊合約則調用未經驗證的獎勵合約,向攻擊者發送更多的NFD代幣。
攻擊者在3次攻擊中重復這個過程,獲取了4481個WBNB,價值約125萬美元。
由于攻擊者大量拋售NFD代幣,該代幣的價格已經暴跌超過99%。
②攻擊者執行了三次閃電貸攻擊,借助第一筆閃電貸款,借入250個WBNB,并將其交易為6,313,508個NFD代幣。
《華爾街日報》母公司News Corp擬嘗試區塊鏈技術評估AI內容訓練價值:金色財經報道,美聯社宣布與OpenAI簽訂合作協議,授權OpenAI使用部分美聯社的文本檔案,同時美聯社也將利用OpenAI的技術和產品專業知識,據悉美聯社是第一家與主要人工智能平臺達成收費協議的主要媒體。另有知情人士透露,《華爾街日報》母公司News Corp已開始與內外部顧問合作,評估自家內容對AI訓練的價值,評估結果或將影響到未來與谷歌、微軟等公司的談判,News Corp旗下還包括《倫敦時報》與《紐約郵報》。此外News Corp已在嘗試利用區塊鏈技術保護自己的知識產權。其將通過區塊鏈技術對單個內容進行標記,以檢測AI公司是否在未經允許的情況下,使用News Corp的內容,并可能計劃收入許可費用。[2023/7/30 16:07:12]
③這些代幣被發送到一些未經驗證的合約中。
AI社交資訊流媒體Techub.NEWS產品正式上線:據官方消息,AI社交資訊流媒體平臺Techub.NEWS今日在香港數碼港舉辦首屆新聞發布會,標志著產品的正式上線。據悉,Techub.NEWS先前已獲得一些知名投資人的關注,種子輪融資由VCB、Ausvic Capital和MetaTdex Ventures(馬蹄創投)參與。Techub.NEWS負責人Alma Li指出,Techub.NEWS通過RLHF算法來優化AI熱點推薦,并采用IPFS存儲技術實現數據的去中心化和高度可靠性,精品內容的NFT化出售則為用戶提供更多收益機會。[2023/4/17 14:07:11]
④這調用了0xe2f9d09c,輸入NFD代幣地址0x0000000000000000000038c63a5d3f206314107a7a9fe8cbba29d629d4f9。
Proof of Learn完成1500萬美元融資,New Enterprise Associates領投:1月13日消息,Web 3 Learn to Earn平臺 Proof of Learn 宣布完成 1500 萬美元融資,本輪融資由 New Enterprise Associates 領投,Animoca Brands、GoldenTree Asset Management、gumi Cryptos Capital 和 Infinity Ventures Crypto 等參投,本輪融資資金將用于項目推廣。
Proof of Learn 是一個Learn to Earn平臺,用戶在學習的同時可賺取加密貨幣或 NFT 獎勵。(Coindesk)[2022/1/13 8:47:46]
⑤這觸發了NFD項目部署的另一個未經驗證的獎勵合約0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e.0x6811e3b9()。
NEW ERA跨鏈橋已正式上線,可橋接以太坊和幣安智能鏈生態:10月21日消息,以太坊二層項目NEW ERA跨鏈橋已正式上線,可將以太坊生態和幣安智能鏈生態橋接起來,提升雙方的互操作性和Token的流動性。目前其第二階段也已開始,屆時用戶可以通過該資產橋實現跨層資產轉移,且無需等待原生橋的挑戰期。在Beta版本階段,NEC將以優惠手續費的方式向社區提供資產跨層服務。[2021/10/21 20:46:27]
之后,未驗證的合約實際上從獎勵合約中收到了額外的525,283個NFD代幣——總計6,838,792個NFD代幣,這些代幣被發回給了攻擊合約。
⑥在上述交易中,NFD合約錯誤地釋放了額外的525,283NFD。因此當攻擊者完成攻擊時,獲取了總計343,323,371個NFD代幣,在償還了最初的250WBNB貸款后,獲利4481WBNB,總價值約125萬美元。
⑦最后攻擊者通過兩筆交易,將2,000WBNB換為556,556.72USDT。目前攻擊者錢包仍持有2,481WBNB。
資金去向
攻擊者總共獲得了4481個WBNB,并將其中的2000個換成了55.7萬枚USDT,剩下的WBNB仍然在攻擊者的賬戶中。
將2000WBNB交易為USDT的兩筆交易:
https://bscscan.com/tx/0x8c035fc9c3d944b3dd4a0ea721c119240cb624e79b7625a16173ad6682410599?
https://bscscan.com/tx/0xda4b4de6ecacfe9b8b60167a2010630aeec103ab51920eb2e1b94ba1fef6c95b?
相關地址
攻擊者賬戶:
https://bscscan.com/address/0x22c9736d4fc73a8fa0eb436d2ce919f5849d6fd2?
攻擊合約:
https://bscscan.com/address/0xa35ef9fa2f5e0527cb9fbb6f9d3a24cfed948863?
未經驗證的獎勵合約:
https://bscscan.com/address/0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e?
WBNB-USDT對:
https://bscscan.com/address/0x16b9a82891338f9ba80e2d6970fdda79d1eb0dae?
USDT-NFD對:
https://bscscan.com/address/0x26c0623847637095655b2868c3182b2285bdaeaf?
寫在最后
攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會持續于官方公眾號發布與項目預警相關的信息。
CertiK的端到端安全解決方案,從智能合約審計和KYC項目背景調查服務,到Skynet天網動態掃描系統和SkyTrace等區塊鏈分析工具,以及漏洞賞金計劃,助力每一個項目充分發揮潛力的同時為Web3.0打造用戶和投資者高參與的生態系統。
9月14日消息,加密投資基金SevenXVentures宣布完成第三期基金首次募集,共募集8000萬美元。據悉,SevenXVentures第三期基金總規模1億美元,將在10月底前完成募集.
1900/1/1 0:00:00尊敬的用戶:由於DIPP智能合約升級,Hotcoin現已暫停DIPP充值、提現,交易不受影響,具體開放時間敬請留意官方公告.
1900/1/1 0:00:00?瑞波幣(XRP)一直難以相對于Tether(USDT)實現兩位數的收益,因為最近價格繼續波動,幾乎沒有波動.
1900/1/1 0:00:00關于Gate.ioStartup免費空投計劃為回饋平臺用戶,Gate.io上線“免費空投計劃”,在Startup區不定期進行區塊鏈項目的免費空投計劃.
1900/1/1 0:00:00Gitcoin是一個針對開源軟件的捐款平臺,用戶可以在該平臺上為喜歡的項目進行任意金額的捐贈,早期項目也可以在Gitcoin上獲得捐助以維持運營,當然捐助者也有一定概率獲得項目方的空投.
1900/1/1 0:00:00金色財經報道,加密貨幣交易所BitMEX的首席執行官AlexanderH?ptner在接受采訪時分享了他們的交易平臺如何為合并做準備,談到了在過渡到PoS后機構采用的潛力.
1900/1/1 0:00:00