WDO:黑客四连击，近期项目被攻击事件分析-ODAILY_towdogecoin

作者：

时间：

北京时间2022年4月24日下午4时33分，CertiK审计团队监测到WienerDOGE项目被恶意利用，造成了3万美元的损失。攻击者利用WDODGE的收费机制和交换池之间的不一致，发起了攻击。

事件发生的根本原因是：通过紧缩的代币合约造成发送方的LP对没有被排除在转账费用之外。因此，攻击者能够将LP对中的通货紧缩代币耗尽，进而导致货币对价格失衡。

而随后于同一天内接连发生了另外三起恶意利用：

Curve向CRV/ETH池黑客公布还款地址:8月9日消息，Curve官方发推称，“CRV/ETH池黑客需将资金返还至由Curve DAO控制的地址0x4090......b9968。”

值得一提的是，Curve于8月7日曾表示容许该黑客自愿归还资金的截止日期已过，将不再视其为白帽，同时将向任何可提供相关线索的用户给予10%追赃数额的报酬。[2023/8/9 21:34:52]

下午6时20分，LastKilometer项目被闪电贷攻击利用，造成了26495美元的损失；

晚上9时45分，Medamon项目被闪存贷攻击利用，造成3159美元的损失；

MEV机器人遭黑客攻击，损失超2000万美元:4月3日消息，据推特用户3155.eth在社交媒体披露，某些顶级MEV机器人被锁定为黑客的攻击目标，三明治套利中的交易模块被替换，目前已造成超过2000万美元的损失，这可能成为可能是整个MEV生态系统的主要转折点。简单解释为黑客拿到了三明治套利的大户bot的bundle交易，bundle里有3个交易为1.大量买入，2.被夹用户的交易，3.大量卖出。黑客拿到了这个bundle，拆解了bundle，把2替换了成自己的交易，用便宜代币换走了bot的资金，之后第3步交易失败。”此外，根据@punk3155的推文，某MEV机器人遭遇了上述攻击，总损失已达2000万美元。[2023/4/3 13:41:50]

紧接着，PI-DAO项目被闪存贷攻击利用，造成了6445美元的损失。

IRA Financial的加密退休账户上周被黑客攻击，损失高达3600万美元:2月15日消息，据彭博社援引知情人士报道，美国南达科他州提供自主退休账户的IRA FinancialTrust上周遭到黑客攻击，导致3600万美元的加密货币被盗。IRA FinancialTrust在2月8日的声明中表示，发现“可疑活动影响了我们在Gemini加密货币交易所拥有账户的有限客户群。发现后，我们立即展开调查，并联系了州和联邦执法部门。”同一天，身份不明的黑客从IRAFinancialTrust的账户中提取了2100万美元的比特币和1500万美元的以太坊。区块链分析公司Chainalysis表示，它正在追踪从IRA客户那里窃取的价值3600万美元的加密货币，并表示被盗资金正通过Tornado的“混合器”服务对其进行清洗。Tornado的代表没有立即回应置评请求。[2022/2/15 9:52:15]

这一系列攻击的攻击者与攻击方法，与同一天早些时候发生的WienerDOGE相同。

动态 | 区块链游戏Cheeze Wizards被曝发现严重漏洞，硬分叉后原Dapp成黑客乐园:10月14日，区块链游戏Cheeze Wizards在以太坊主网上线。不到24小时内，玩家@samczsun向官方反映，游戏合约存在一个严重的Bug，使用这个bug可以立于不败之地。随后Cheeze Wizards决定采用分叉的解决方案来保护用户的权益。Cheeze Wizards已经修复了此Bug并部署了新的智能合约，奖池中损失的178ETH也已经被补上，但CW并没有关闭有问题的游戏而是让它成为了一个黑客乐园。（区块律动）[2019/10/19]

攻击步骤

①攻击者通过闪电贷获得了2900枚BNB。

②攻击者将2900枚BNB换成了6,638,066,501,83枚WDOGE。

●LP的状态：

○WdogE:199,177,850,468

○WBNB:2978

③将5,974,259,851,654枚WDOGE发送到LP，由于WDOGE比BNB多，所以LP现在处于不平衡状态。

●LP的状态：

○WDOGE:5,178,624,112,169

○WBNB:2978

④调用skim()函数，从LP中取回4,979,446,261,701枚WDOGE。由于攻击者在调用skim()之前发送了大量的WDOGE，所以LP将支付大量的费用。这一操作清空了LP内的WDOGE的数量。