加密貨幣:創宇區塊鏈：bDollar項目遭受攻擊，價格如何能成為一把利器？_BNB

前言

北京時間2022年4月30日，知道創宇區塊鏈安全實驗室?監測到BSC鏈上的bDollar項目遭到價格操縱攻擊，導致損失約73萬美元。

知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。

基礎信息

攻擊者地址：0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e

攻擊合約：0x6877f0d7815b0389396454c58b2118acd0abb79a

報告：年初至今DeFi協議總鎖倉價值增長100億美元:金色財經報道，Cointelegraph發布的一份報告顯示，隨著比特幣價格在2023年初開始上漲，一些山寨幣經歷了超過100%的月度增長，年初至今DeFi協議的總鎖倉價值（TVL）增長100億美元，分析師表示，這是由于負面情緒的極端主導和2022年底空頭頭寸的過度飽和造成的。但是，基于Solana的協議Friktion仍然宣布由于“未來幾個月DeFi的艱難市場”而停止存款，這表明在不久的將來可能會出現進一步的回撤。[2023/2/14 12:05:02]

tx：0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4

加密風投公司Tribe Capital大幅削減對初創公司Invenia的內部估值:金色財經報道，風險投資機構TribeCapital將其對初創公司Invenia的內部估值大幅下調95%。據悉，Invenia聯合創始人兼首席執行官MatthewHudson已被“解雇”，據董事會領導的調查顯示，他曾“秘密地、系統地、反復地夸大公司的收入和盈利能力”。除此之外，TribeCapital還在努力解決投資組合，其中還包括FTX和Kraken,Kraken最近就違反美國對伊朗制裁的指控達成了和解。（Fortune）[2022/12/24 22:05:37]

CommunityFund合約：0xEca7fC4c554086198dEEbCaff6C90D368dC327e0

IMF：加密貨幣與亞洲股市相關性顯著上升，監管機構需解決“數據差距”:金色財經報道，8月21日，國際貨幣基金組織（IMF）發布文章稱，亞洲地區加密貨幣交易量與股票市場的連動性現已大幅增長，由此凸顯出監管的必要性。IMF表示，世界上很少有地方像亞洲那樣接受加密貨幣資產，亞洲的頂級用戶包括印度、越南和泰國等國的個人和機構投資者，這就引出了一個重要的問題，即加密貨幣融入亞洲金融體系的程度。

隨著亞洲投資者扎堆進入加密貨幣，該地區股市表現與比特幣和以太坊等加密貨幣資產之間的相關性有所提高。雖然在疫情之前，比特幣和亞洲股票市場間的回報和波動相關性較低，但自2020年以來，此相關性已顯著上升。

如，比特幣與印度股市的回報相關性在新冠疫情期間增加了10倍，這表明加密貨幣的風險分散收益有限，而波動性相關性增加了3倍，表明加密貨幣和股票市場的風險情緒可能會溢出。

IMF認為，亞洲加密貨幣和股票市場互聯性增強的關鍵驅動因素可能包括股市和場外交易市場對加密貨幣相關平臺和投資工具的接受程度不斷提高，或者更普遍地說，亞洲散戶和機構投資者對加密貨幣的接受程度不斷提高，其中許多人在股票和加密貨幣市場均有頭寸。[2022/8/22 12:40:57]

漏洞分析

漏洞關鍵在于CommunityFund合約中的claimAndReinvestFromPancakePool方法在使用Cake代幣進行代幣轉換時，會對換取的WBNB數量進行判斷并且會自動把換取的WBNB的一半換為BDO代幣；而之后合約會自動使用合約中的WBNB為池子添加流動性，若此時BDO代幣的價值被惡意抬高，這將導致項目方使用更多的WBNB來為池子添加流動性。

而最為關鍵的是，攻擊者實施攻擊前，在WBNB/BDO、Cake/BDO、BUSD/BDO池子中換取了大量BDO代幣導致BDO價格被抬高。

在我們對攻擊交易進行多次分析之后，發現事情并沒有那么簡單，該次攻擊極有可能是被搶跑機器人搶跑交易了，依據如下：

1、該筆攻擊交易比BSC鏈上普通交易Gas費高很多，BSC鏈上普通交易默認Gas費為5Gwei，而該筆交易竟高達2000Gwei。

2、我們發現該攻擊合約與攻擊者地址存在多筆搶跑交；

3、我們在相同區塊內找尋到了真實攻擊者的地址與交易，該交易被回滾了。

攻擊流程

1、攻擊者使用閃電貸貸款670枚WBNB；

2、之后攻擊者將WBNB在各個池子中換取大量BDO代幣；

3、隨后攻擊者再次使用閃電貸貸款30516枚Cake代幣；

4、將貸款的Cake代幣進行swap，換取400WBNB，其中200枚被協議自動換取為BDO代幣；

5、攻擊者將WBNB換取Cake代幣用于歸還閃電貸；

6、最后，攻擊者將升值后的3,228,234枚BDO代幣換取3020枚WBNB，還款閃電貸671枚，成功套利2381枚WBNB價值約73萬美元。

總結

本次攻擊事件核心是合約會為流動性池自動補充流動性，而未考慮代幣價格是否失衡的情況，從而導致項目方可能在價格高位對流動性進行補充，出現高價接盤的情況。

建議項目方在編寫項目時多加注意函數的邏輯實現，對可能遇到的多種攻擊情況進行考慮。

在此提醒項目方發布項目后一定要將私鑰嚴密保管，謹防網絡釣魚，另外，近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：加密貨幣BDOWBNBBNB加密貨幣為什么有價值bDollar Sharewbnb和bnb區別BNBFAN

MEXC