BNB:Bogged Finance攻击事件分析_Friends With Benefits Pro

作者：

时间：

据官方tg群消息，北京时间5月22日晚BoggedFinance项目遭遇闪电贷攻击，随后BOG代币价格断崖式下跌。

知道创宇区块链

安全

实验室

第一时间跟进分析本次安全事件。

以造成本次闪电贷攻击的其中一笔交易为例，对应具体交易hash如下：0x47a355743456714d9abc23e1dff9e26430e38e84cc8b8e0a0b4ca475918f3475

赞比亚对比特币等数字货币进行的测试即将完成:金色财经报道，赞比亚正在对比特币等数字货币进行测试。赞比亚最近评论说，这些测试几乎已经完成。赞比亚创新、科学和技术部长 Felix Mutati 在接受采访时表示，赞比亚即将实施规则和法律，允许所有公民进行安全和受控的加密交易。我们在加密货币领域的主要目标是在数字支付方面的创新与公民安全之间取得平衡，特别是考虑到加密货币非常不稳定。中央银行正在对此进行模拟，以了解现实世界中会发生什么。结果将有助于我们（在）制定法规。他还表示，最近赞比亚的许多居民对加密货币投资变得非常感兴趣。

金色财经报道，4月13日，旨在帮助塑造赞比亚加密货币法律的加密货币监管测试，模拟加密货币在现实世界的使用，有望在6月前完成。[2023/5/24 15:21:36]

黑客地址0x4622A1f3d05DcF5A0589c458136C231009B6A207通过攻击合约0xe576790f35A8cC854d45b9079259Fe84F5294e07进行闪电贷攻击，通过调用攻击合约中攻击函数，传入参数15000000000000000000000，通过BankController合约进行闪电借贷15000BNB，通过WBNB合约兑换后开始进行套利攻击。

高盛数字资产主管：高盛所有客户都对比特币有需求:高盛数字资产主管Matthew McDermott表示，从对冲基金到富裕个人，高盛的所有客户都对比特币有需求。此前消息，高盛发布了一项关于比特币和加密资产的调查，22%受访者认为BTC一年内将超10万美元。[2021/3/6 18:19:49]

本次闪电贷攻击主要是由于BoggedFinance合约中_transferFrom函数中利用_txBurn函数出现逻辑漏洞，代币合约对所有交易应当收取5%的交易额作为交易费用来销毁，其中4%分红给lp提供者，1%被烧毁，但在_transferFrom函数中未校验转账地址，允许向自己转账，在自我转账的过程中，仅扣除1%手续费，而包括攻击者在内的lp提供者获得4%的分红奖励，所以攻击者可以通过添加大量流动性进行流动性挖矿，并且反复自我转账获利，最终移除流动性从而完成攻击过程。

动态 | 报告：第三次区块奖励减半短周期对比特币价格影响有限:TokenInsight发布《2019年度区块链矿业研究报告》。报告显示：1. 2019年全年比特币平均算例增加80%，相比之下全年平均价格下跌1.9%。2. 挖矿收益中，手续费占比从2.8亿美元下降至1.6亿，降低67%。3. 第三次减半后供应量增长率降低约为1.7%，远低于黄金的4.8%-6.2%和狭义货币（M1）发行量的5%。4. 矿池的规范性不足，与独立第三方机构合作是未来发展方向。5. 预计比特大陆、嘉楠耘智、比特微、亿邦国际将分别占据2020年SHA256 ASIC矿机市场占有率为63%，18%，10%和7%。6. 第三次区块奖励减半短周期对比特币价格影响有限，长期来看会对比特币价格提供动力。7. 山寨币挖矿可能会一步步从GPU/CPU 走向 FPGA，长期看可能会慢慢的被ASIC挖矿所占领。[2020/1/8]

通过查看浏览器交易显示，攻击者在该笔交易中分4次将1298.20BNB、1489.05BNB、1707.95BNB、1959.03BNB在PancakeSwap中兑换为47770BOG，并用共计8434.07BNB和281174.22BOG在PancakeSwap的BNB-BOG池中添加流动性

如下图所示，攻击者在该笔交易中通过以下5笔交易将如下所示数量的WBNB与BOG添加流动性并将所获得的流动性代币进行抵押挖矿。

图1添加流动性并进行你抵押挖矿为多次转账准备

随后，攻击者通过攻击合约多次进行自我转账，进行获利。

图2反复自我转账

最后，攻击者通过Nerve

跨链

桥将它们分批次转换为

ETH

进行套现后移除流动性，返还闪电贷完成本次攻击。

图3移除流动性

图4返还闪电贷