據CertiK安全團隊監測,,WienerDOGE項目于北京時間2022年4月24日下午4時33分被惡意利用,造成了3萬美元的損失。攻擊者利用WDODGE的收費機制和交換池之間的不一致,發起了攻擊。
事件發生的根本原因是:通過緊縮的代幣合約造成發送方的LP對沒有被排除在轉賬費用之外。因此,攻擊者能夠將LP對中的通貨緊縮代幣耗盡,進而導致貨幣對價格失衡。
而隨后于同一天接連發生了另外三起惡意利用:
同天下午6時20分,LastKilometer項目被閃電貸攻擊利用,造成了26495美元的損失;
Scroll成為ETH Beijing黑客松的協辦方及贊助方:據官方消息,以太坊 zk-rollup 擴容項目 Scroll 成為 ETH Beijing 黑客松的協辦方及贊助方,用戶可以從官方鏈接報名參與 ETH Beijing 黑客松。[2023/3/10 12:53:48]
同天晚上9時45分,Medamon項目被閃存貸攻擊利用,造成3159美元的損失;
緊接著,PI-DAO項目被閃存貸攻擊利用,造成了6445美元的損失。
這一系列攻擊的攻擊者與攻擊方法,與同一天早些時候發生的WienerDOGE相同。
派盾:Uranium Finance黑客將約335萬美元的ETH轉至Tornado Cash:金色財經報道,據派盾監測,Uranium Finance黑客時隔647天后,于今日將2250枚ETH(約335萬美元)被盜資金轉移到Tornado Cash,被盜資金似乎以USDT的形式保留了約650天。
此前2021年4月消息,BSC生態Uranium Finance出現漏洞導致5000萬美元資金被盜。[2023/3/7 12:46:10]
WienerDOGE攻擊流程
攻擊者通過閃電貸獲得了2900枚BNB。
ETHDenver線上黑客松將于3月25日進行Demo Day和第二次MACI投票:3月14日,ETHDenver 2022 線上黑客松將于 3 月 21 日結束。3 月 21 日-3 月 24 日為評委投票階段,將選出 30 個決賽入圍項目于 3 月 25 日進行線上 Demo Day 項目展示。第二輪 ETHDenver MACI 二次方資助社區投票將同步舉行,SPORK 社區可以通過 DoraHacks 開發者平臺 HackerLink.io 參與 MACI 隱私二次方投票。截至目前,ETHDenver 2022 總計提交項目已經超過 300 個。
MACI 是通過零知識證明實現抗共謀的最小化基礎設施,DoraHacks 平臺于 2021 年第四季度開始支持 MACI。[2022/3/14 13:55:02]
攻擊者將2900枚BNB換成了6,638,066,501,83枚WDOGE
聲音 | V神詳述DAO黑客攻擊事件細節:擔心負面事件損害以太坊形象:以太坊創始人V神近期談及Genesis DAO的黑客攻擊事件時表示,當DAO獲得的初始投資超過5000萬美元時,V神擔心負面事件會損害以太坊的形象,他并未第一時間意識到出現了黑客攻擊。2016年6月17日,V神偶然間在Skype上看到了一條消息,促使他看了DAO一眼,從而發現了不對勁的地方,“所以我詢問了核心開發者,‘嘿,這正常嗎?一開始我在想,另一種結果(指黑客攻擊)是不可想象的。對此一定有一個合理的解釋……開發人員查看了問題,在接下來的半個小時里,越來越多的人開始議論這件事,很明顯,不可想象的事情真的發生了。”作為一種補救策略,他開始向區塊鏈進行“垃圾交易(spamming)”來減緩攻擊者的活動。但在將近400萬ETH被提走后決定停止操作。被盜取的ETH沒有立即送達攻擊者的錢包,而是被困在一份為期35天的“子智能合同”中。經過數次討論后,團隊最終決定進行硬分叉來解決問題。V神總結道:“當生態系統中如此大的一部分處于危險之中時,這是值得重新思考的事情……所以社區中出現了分裂,一部分人沒有下載這些代碼補丁并實現硬分叉,并繼續運行舊鏈(即ETC)。”(AMBCrypto)[2019/11/24]
WdogE:199,177,850,468
WBNB:2978
LP的狀態:
將5,974,259,851,654枚WDOGE發送到LP,由于WDOGE比BNB多,所以LP現在處于不平衡狀態。
WDOGE:5,178,624,112,169
WBNB:2978
LP的狀態:
調用skim()函數,從LP中取回4,979,446,261,701枚WDOGE。由于攻擊者在調用skim()之前發送了大量的WDOGE,所以LP將支付大量的費用。這一操作清空了LP內的WDOGE的數量。
攻擊者還調用可sync()函數來更新LP內的儲備值。若干枚WDOGE和2978枚BNB的存在,造成了WDOGE的價格與WBNB相比異常昂貴。
5.最后,攻擊者用剩下的WDOGE換回了2978枚BNB,償還了閃電貸,賺取了78枚BNB。
而其他幾個項目被攻擊的流程步驟也相似:
閃電貸取得WBNB,并用WBNB換取LP中的通縮代幣;
直接將通縮的代幣轉移到LP對上;
調用skim()函數,迫使LP對輸回通縮代幣;
由于轉讓費的存在,攻擊者會重復步驟2~3,將LP對中的通縮代幣耗盡;
通過LP對中的價格不平衡來獲取利潤。
合約漏洞分析
當用戶轉移一定數量的WDOGE時,除了費用,還有4%的代幣將被銷毀。
因此,如果LP發送100枚WDOGE,其余額將減少104枚WDOGE。
所以,LP應該被排除在費用和代幣銷毀之外。
資產損失
審計的作用
CertiK審計專家認為:如果同時對代幣和LP合約進行審計,這個漏洞就可能被發現。然而,如果只有代幣合約被審計,那么交換機制將被視為一個外部依賴。而這種情況在審計過程中將會指出第三方依賴風險。具體為:如果是代幣合約,CertiK審計專家將會與項目方討論,確認是否需要除去LP對的手續費;如果是LP對方的合約,CertiK審計專家會提出通縮幣的討論,并且提醒項目方可能存在的風險。
作為區塊鏈安全領域的領軍者,CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止,CertiK已獲得了3200家企業客戶的認可,保護了超過3110億美元的數字資產免受損失。
CSLewis?說,完整性即“做正確的事,即使沒有人在看”。?尖端的密碼學將使區塊鏈能夠根據這一理念管理每個人的數據.
1900/1/1 0:00:00BTC價格再次回落,最低跌至35500美金附近暫時止跌回升,前期已多次提示目前仍為空頭趨勢,不要盲目追高.
1900/1/1 0:00:00元宇宙,是一個以現實世界為藍本的平行數字世界,除了VR和教育體驗,用戶也可以沉浸在無縫的社交和金融交互中。 什么是元宇宙? 從概念上講,元宇宙并不完全是個新事物.
1900/1/1 0:00:00洛天依、A-Soul、柳夜熙……每到歲末年初,各種虛擬偶像總是會因頻頻入選年度榜單、亮相電視晚會,而獲得一輪向公眾科普展示的機會.
1900/1/1 0:00:00DeFi數據 1.DeFi代幣總市值:1215.06億美元 DeFi總市值數據來源:coingecko2.過去24小時去中心化交易所的交易量:23.
1900/1/1 0:00:00富達投資公司將允許投資人在其401(k)退休帳戶存入比特幣,今年晚些時候,使用富達管理其退休計劃的2.3萬家公司可以選擇將比特幣存入退休儲蓄賬戶,它將允許員工接觸比特幣,最高配置比例為20%.
1900/1/1 0:00:00