据CertiK安全团队监测,, Wiener DOGE项目于北京时间2022年4月24日下午4时33分被恶意利用,造成了3万美元(折合人民币约12.6万)的损失。攻击者利用WDODGE的收费机制和交换池之间的不一致,发起了攻击。
事件发生的根本原因是:通过紧缩的代币合约造成发送方的LP对没有被排除在转账费用之外。因此,攻击者能够将LP对中的通货紧缩代币耗尽,进而导致货币对价格失衡。
而随后于同一天接连发生了另外三起恶意利用:
同天下午6时20分,Last Kilometer项目被闪电贷攻击利用,造成了26495美元(折合人民币约17万)的损失;
FTX黑客将约3万枚BNB兑换为ETH和BSC-USD,并跨链至以太坊网络:11月17日消息,据派盾预警监测数据,被标记为FTX Accounts Drainer 1的FTX黑客地址已经收到约6,079.22枚ETH(约724万美元)。该地址目前持有241,471.67枚ETH(约2.87亿美元),成为第31大ETH持有人。
此外,FTX Accounts Drainer地址在BSC上持有44,288.93枚BNB(约1170万美元)和约168万枚DAI。FTX Accounts Drainer 0xd73aC地址已将约3万枚BNB兑换为2,001.5枚ETH和约500万枚BSC-USD,并将约1,900枚ETH和约499.9万枚BSC-USD跨链至以太坊网络。[2022/11/17 13:17:39]
同天晚上9时45分,Medamon项目被闪存贷攻击利用,造成3159美元(折合人民币约2万)的损失;
爱尔兰男子参与黑客活动劫持250万美元比特币被判入狱3年:11月17日,爱尔兰男子Conor Freeman在爱尔兰都柏林刑事法庭被判处两年零11个月的监禁,Freeman通过参与SIM卡交换攻击盗窃200多万美元加密货币。据法官Martin Nolan表示,他已经承认了几项涉及欺诈的指控。被捕时,他持有142.7枚比特币,价值超250万美元。(Coindesk)[2020/11/19 21:22:32]
紧接着, PI-DAO项目被闪存贷攻击利用,造成了6445(折合人民币约4万)美元的损失。
这一系列攻击的攻击者与攻击方法,与同一天早些时候发生的Wiener DOGE相同。
动态 | EOSCast遭遇黑客攻击 7万多EOS被黑客转走:据媒体报道,今日凌晨EOSCast游戏遭遇黑客攻击,7万多EOS被黑客转走。区块链安全公司PeckShield随即对相关账号链上数据展开深入分析发现,今晨00:15起,黑客“refundwallet”尝试对EOSCast游戏合约“eoscastdmgb1”实施攻击,黑客先以“假EOS”攻击方式进行转账攻击8次,未能得逞,后又采用“假EOS转账变种”的方式成功攻击9次。根据游戏规则,黑客分别以100、1,000、10,000个假EOS展开攻击,每次攻击可得到198、9,800、19,600个不等的EOS,在实施最后一次攻击时,游戏方察觉到异常攻击,及时转走了奖金池仅剩的8,000个EOS。最终,黑客共计获利72,912个EOS,根据EOS当前行情35元估算,EOSCast平台损失超255万元。受此影响,EOSCast游戏已紧急下线,据了解,该游戏上线仅10个小时。[2018/10/31]
攻击者通过闪电贷获得了2900枚BNB。
360伏尔甘团队郑文彬评黑客盗币:有些交易所安全投入只有几万元:近日,韩国最大虚拟货币交易平台Bithumb遭黑客入侵,约350亿韩元(约合3200万美元,2亿人民币)资产被盗。对此360集团助理总裁、360伏尔甘团队负责人郑文彬表示:目前可以说基本上所有区块链公司的安全能力,都还不足以保护交易所和区块链社区安全,还是需要有国际实力的安全公司加入。现在很多区块链项目社区、数字货币交易所在安全上的投入仅仅有几万块,一旦出现安全问题,损失动辄几亿,所以交易所和区块链社区需要真正重视安全问题,加大事前投入而不是仅仅是事后弥补。[2018/6/21]
攻击者将2900枚BNB换成了6,638,066,501,83枚WDOGE
WdogE : 199,177,850,468
WBNB: 2978
LP的状态:
将5,974,259,851,654枚WDOGE发送到LP,由于WDOGE比BNB多,所以LP现在处于不平衡状态。
WDOGE : 5,178,624,112,169
WBNB : 2978
调用skim()函数,从LP中取回4,979,446,261,701枚WDOGE。由于攻击者在调用skim()之前发送了大量的WDOGE,所以LP将支付大量的费用。这一操作清空了LP内的WDOGE的数量。
攻击者还调用可sync()函数来更新LP内的储备值。若干枚WDOGE和2978枚BNB的存在,造成了WDOGE的价格与WBNB相比异常昂贵。
5. 最后,攻击者用剩下的WDOGE换回了2978枚BNB,偿还了闪电贷,赚取了78枚BNB。
而其他几个项目被攻击的流程步骤也相似:
闪电贷取得WBNB,并用WBNB换取LP中的通缩代币;
直接将通缩的代币转移到LP对上;
调用skim()函数,迫使LP对输回通缩代币;
由于转让费的存在,攻击者会重复步骤2~3,将LP对中的通缩代币耗尽;
通过LP对中的价格不平衡来获取利润。
当用户(或LP)转移一定数量的WDOGE时,除了费用,还有4%的代币将被销毁。
因此,如果LP发送100枚WDOGE,其余额将减少104枚WDOGE。
所以,LP应该被排除在费用和代币销毁之外。
CertiK审计专家认为:如果同时对代币和LP合约进行审计,这个漏洞就可能被发现。然而,如果只有代币合约被审计,那么交换机制将被视为一个外部依赖。而这种情况在审计过程中将会指出第三方依赖风险。具体为:如果是代币合约,CertiK审计专家将会与项目方讨论,确认是否需要除去LP对的手续费;如果是LP对方的合约,CertiK审计专家会提出通缩币的讨论,并且提醒项目方可能存在的风险。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。