2022年5月21日,成都链安链必应-区块链安全态势感知平台舆情监测显示, bDollar项目遭受价格操控攻击,攻击者获利2381WBNB(价值约73万美元)。成都链安技术团队第一时间对事件进行了分析,结果如下。
#1 项目相关信息
安全团队:EtnProduct项目遭受闪电贷攻击:8月5日,来自成都链安社区成员情报显示,EtnProduct项目遭受闪电贷攻击。成都链安安全团队分析发现:攻击者先利用闪电贷借入9,400个USDT,随后攻击者购买了一个NFT并把NFT挂入EtnProduct项目,由于在挂单时添加的流动性的代币数量固定,以及把凭证币发送给了调用者,攻击者再销毁凭证币套出了流动性里606,091.527的U代币,并调用UMarket项目的saleU函数把11,253.735个U代币一比一转换为USDT后归还闪电贷,总共获利约3,074美元和一个价值7,380美元的NFT,目前获利资金仍然存放于攻击者地址(0xde703797fe9219b0485fb31eda627aa182b1601e)上。后续成都链安链上资金追踪平台“链必追”将对此地址进行持续监控和追踪。[2022/8/5 12:04:20]
由 Bearn.fi 提供的 bDollar 是币安智能链上的第一个算法稳定币,它可以确定性地调整其供应量,将代币的价格向目标价格方向移动,从而为 DeFi 带来可编程性和互操作性。
Inverse Finance再次遭受闪电贷漏洞攻击:金色财经报道,Inverse Finance 再次遭受闪电贷漏洞攻击,攻击者利用 Tether (USDT) 和 Wrapped Bitcoin (WBTC) 窃取了 126 万美元。
最新的利用通过使用闪电贷款来操纵协议货币市场应用程序使用的流动性提供者 (LP) 代币的价格预言。这使得攻击者可以借用比他们发布的抵押品数量更多的协议稳定币DOLA,让他们将差额收入囊中。
金色财经此前报道,Inverse Finance遭遇攻击损失4,300枚ETH,约合1496万美元。[2022/6/17 4:34:08]
#2 事件相关信息
BlockSecAlert:Revest Finance 遭受重入攻击,项目方现已将RVST token合约暂停:3月27日消息,BlockSec告警系统于3月27日上午10:04分点检测到Revest Finance项目遭受重入攻击经过分析原因如下:
1)Next NFT id (FNFTHandler.getNextId)在mint之后更新,因此reentrancy (in ERC1155 mint)能够在当前id上创建NFT
2)mapFNFToToken会在不检查的情况下覆盖token id的状态。
目前项目方已将token合约暂停。详情见原文链接。[2022/3/27 14:20:20]
攻击交易
动态 | 日本BTCBOX交易所今日凌晨BTC报价最低达1336美元 疑似遭受攻击:据日本交易所BTCBOX BTC/日元交易市场K线图显示,今日凌晨1时左右(日本为东9区时间,本文中为东8区时间)BTC交易价格从80万日元(7120美元)左右一路下崩直至最低点14.9万日元(1336美元),之后又于4点后骤然回升到正常水平。有网友称该交易所可能是遭受攻击,也可能是该交易所内部机器人操作失误,目前该交易所还未做出回应。[2018/7/22]
0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4
攻击者地址
0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e
攻击合约
0x6877f0d7815b0389396454c58b2118acd0abb79a
被攻击合约
0xeaDa3d1CCBBb1c6B4C40a16D34F64cb0df0225Fd
1、通过闪电贷借出670WBNB。
2、 将其分成多份分别转入到WBNB/BDO、BUSD/BDO等多个池子进行兑换,拉高BDO的价格。
3、攻击者接着借出30,516 cake用于后续攻击:调用DAO Fund合约中的claimAndReinvestFromPancakePool函数,该函数将cake兑换成400个wbnb,且触发了200WBNB兑换BDO,然而最后会调用_addLiquidity,用合约中的WBNB去添加流动性。此时由于BDO价格很高,导致添加流动性时需要使用项目方合约中大量的WBNB,相当于项目方高位接盘。
4、最后攻击者通过pancake兑换出WBNB,归还闪电贷,获利2381 WBNB。
本次攻击主要利用了DAO fund代理合约CommunityFund中claimAndReinvestFromPancakePool函数在添加流动性时的设计漏洞,未充分考虑到价格被恶意拉高后,项目方会在添加流动性时,用自己合约内的资金被动高位接盘的情况。
截止发文时,被盗资金还未被攻击者转出,仍存在攻击合约中:0x6877F0D7815b0389396454C58b2118ACD0aBB79A。
针对本次事件,成都链安技术团队建议:
1、合约在设计时应充分考虑可能遇到的攻击,尽量完善其安全设计;
2、项目上线前,建议选择专业的安全审计公司进行全面的安全审计,规避安全风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。