北京时间2022年4月24日下午4时33分,CertiK审计团队监测到WienerDOGE项目被恶意利用,造成了3万美元的损失。攻击者利用WDODGE的收费机制和交换池之间的不一致,发起了攻击。
事件发生的根本原因是:通过紧缩的代币合约造成发送方的LP对没有被排除在转账费用之外。因此,攻击者能够将LP对中的通货紧缩代币耗尽,进而导致货币对价格失衡。
而随后于同一天内接连发生了另外三起恶意利用:
Curve向CRV/ETH池黑客公布还款地址:8月9日消息,Curve官方发推称,“CRV/ETH池黑客需将资金返还至由Curve DAO控制的地址0x4090......b9968。”
值得一提的是,Curve于8月7日曾表示容许该黑客自愿归还资金的截止日期已过,将不再视其为白帽,同时将向任何可提供相关线索的用户给予10%追赃数额的报酬。[2023/8/9 21:34:52]
下午6时20分,LastKilometer项目被闪电贷攻击利用,造成了26495美元的损失;
晚上9时45分,Medamon项目被闪存贷攻击利用,造成3159美元的损失;
MEV机器人遭黑客攻击,损失超2000万美元:4月3日消息,据推特用户3155.eth在社交媒体披露,某些顶级MEV机器人被锁定为黑客的攻击目标,三明治套利中的交易模块被替换,目前已造成超过2000万美元的损失,这可能成为可能是整个MEV生态系统的主要转折点。简单解释为黑客拿到了三明治套利的大户bot的bundle交易,bundle里有3个交易为1.大量买入,2.被夹用户的交易,3.大量卖出。黑客拿到了这个bundle,拆解了bundle,把2替换了成自己的交易,用便宜代币换走了bot的资金,之后第3步交易失败。”此外,根据@punk3155的推文,某MEV机器人遭遇了上述攻击,总损失已达2000万美元。[2023/4/3 13:41:50]
紧接着,PI-DAO项目被闪存贷攻击利用,造成了6445美元的损失。
IRA Financial的加密退休账户上周被黑客攻击,损失高达3600万美元:2月15日消息,据彭博社援引知情人士报道,美国南达科他州提供自主退休账户的IRA FinancialTrust上周遭到黑客攻击,导致3600万美元的加密货币被盗。IRA FinancialTrust在2月8日的声明中表示,发现“可疑活动影响了我们在Gemini加密货币交易所拥有账户的有限客户群。发现后,我们立即展开调查,并联系了州和联邦执法部门。”同一天,身份不明的黑客从IRAFinancialTrust的账户中提取了2100万美元的比特币和1500万美元的以太坊。区块链分析公司Chainalysis表示,它正在追踪从IRA客户那里窃取的价值3600万美元的加密货币,并表示被盗资金正通过Tornado的“混合器”服务对其进行清洗。Tornado的代表没有立即回应置评请求。[2022/2/15 9:52:15]
这一系列攻击的攻击者与攻击方法,与同一天早些时候发生的WienerDOGE相同。
动态 | 区块链游戏Cheeze Wizards被曝发现严重漏洞,硬分叉后原Dapp成黑客乐园:10月14日,区块链游戏Cheeze Wizards在以太坊主网上线。不到24小时内,玩家@samczsun向官方反映,游戏合约存在一个严重的Bug,使用这个bug可以立于不败之地。随后Cheeze Wizards决定采用分叉的解决方案来保护用户的权益。Cheeze Wizards已经修复了此Bug并部署了新的智能合约,奖池中损失的178ETH也已经被补上,但CW并没有关闭有问题的游戏而是让它成为了一个黑客乐园。(区块律动)[2019/10/19]
攻击步骤
①攻击者通过闪电贷获得了2900枚BNB。
②攻击者将2900枚BNB换成了6,638,066,501,83枚WDOGE。
●LP的状态:
○WdogE:199,177,850,468
○WBNB:2978
③将5,974,259,851,654枚WDOGE发送到LP,由于WDOGE比BNB多,所以LP现在处于不平衡状态。
●LP的状态:
○WDOGE:5,178,624,112,169
○WBNB:2978
④调用skim()函数,从LP中取回4,979,446,261,701枚WDOGE。由于攻击者在调用skim()之前发送了大量的WDOGE,所以LP将支付大量的费用。这一操作清空了LP内的WDOGE的数量。
攻击者还调用可sync()函数来更新LP内的储备值。若干枚WDOGE和2978枚BNB的存在,造成了WDOGE的价格与WBNB相比异常昂贵。
⑤最后,攻击者用剩下的WDOGE换回了2978枚BNB,偿还了闪电贷,赚取了78枚BNB。
而其他几个项目被攻击的流程步骤也相似:
闪电贷取得WBNB,并用WBNB换取LP中的通缩代币;
直接将通缩的代币转移到LP对上;
调用skim()函数,迫使LP对输回通缩代币;
由于转让费的存在,攻击者会重复步骤2~3,将LP对中的通缩代币耗尽;
通过LP对中的价格不平衡来获取利润。
漏洞分析
当用户转移一定数量的WDOGE时,除了费用,还有4%的代币将被销毁。
因此,如果LP发送100枚WDOGE,其余额将减少104枚WDOGE。
所以,LP应该被排除在费用和代币销毁之外。
资产去向
写在最后
如果同时对代币和LP合约进行审计,这一风险因素就可以被发现。
然而,如果只有代币合约被审计,那么交换机制将被视为一个外部依赖。
而这种情况在审计过程中将会指出第三方依赖风险。具体为:如果是代币合约,CertiK审计专家将会与项目方讨论,确认是否需要除去LP对的手续费;如果是LP对方的合约,CertiK审计专家会提出通缩币的讨论,并且提醒项目方可能存在的风险。
全球保险行业市值高达数万亿美元。大到顶尖跨国企业,小到个人,都需要购买保险来防范重大风险。保险公司的业务范围也非常广,大到几十亿美元的供应链,小到个人数码产品,都有对应的保险产品.
非同质化代币(NFT)是加密货币世界的主流收藏品,其影响远远超越金融领域。尽管当前大多数的NFT仅限于金融和游戏,但它们几乎在其他行业都有潜在应用。时尚就是最好的例子.
过去的一周,波场TRON项目进展顺利,为满足波场TRON全球社区爱好者阅读,本周周报共分为14种语言,请您选择阅读.
Pizza节12年 5月22日,加密圈一年一度的Pizza节,十二年前的今天,一位程序员用10000枚比特币购买了2块披萨,比特币第一次有了价格.
北京时间2022年5月6日凌晨3:30,CertiK安全技术团队监测到DayOfDefeat(DOD)项目代币价格暴跌94.68%。经CertiK多方面证实,该项目有极高的RugPull风险.
前言 新春二月,知道创宇区块链安全实验室拓宽了对区块链安全信息收集总结的信息广度,将专注于典型安全事件的视角,拔升到了对整个区块链安全资讯的审视.