YEED:CertiK：ZEED被盗百万美元资产事件分析_YEE

北京时间2022年4月21日下午3时15分，CertiK审计团队监测到ZEED项目被攻击，造成了104万美金的财产损失。被盗取资金被转移至一合约中，而该合约具有自我销毁功能，因此该操作无法逆转，资金无法被追回。

攻击步骤

①攻击者合约从HO-SWAPLP收到662枚YEED代币。

②这662枚YEED代币被发送到BSC-USD-YEED。由于收费机制的存在，一些收费代币也将被发送到3个LP对，分别是：BSC-HO-YEED2；BSC-USD-YEED2，BSC-ZEED-YEED2。

知情人士：AAX更有可能解散而不是恢复正常运营:12月1日消息，据AAX前通讯主管透露，加密货币交易所AAX现在更有可能解散而不是恢复正常运营，“我认为更有可能的情况是，该公司采取一种更合法的披露程序，信息流正在迅速恶化，决策变得更加不透明”。

此前报道，11月21日AAX表示有机会在未来几周内获得足够的资金并恢复正常运营，随后AAX已删除官方Youtube频道及Facebook账号。（CoinDesk）[2022/12/1 21:14:17]

③由于费用计算出错，一些YEED代币也将被错误地创建/发送到LP。

AAX已删除Youtube频道和Facebook账号:11月28日消息，加密货币交易所AAX已删除Youtube频道、Facebook账号。目前官方推特账号仍然正常。

据此前报道，11月19日，加密货币交易所AAX发布公告称，在过去的一周内会见50多名投资者，其中部分进入谈判阶段，乐观估计AAX有机会在未来几周内获得足够的资金并恢复正常运营。

此前AAX表示正进行融资以恢复服务，如果融资失败将启动法律程序以确保资产的分配。[2022/11/28 21:06:51]

④从这一刻起，每个LP就处于不平衡状态。在每个LP合约中，都有着与其他代币相较过多的YEED代币。

AAX平台币AAB 24小时涨幅40.76%:加密货币交易所AAX数据显示，AAB短线持续拉升，暂报价0.2780美元,24小时涨幅40.76%。

AAX是首家伦敦证券交易所集团(LSEG)技术驱动的数字资产交易平台，AAX平台合约收入将100%用于每日回购及销毁AAB，直至AAB总供应量的50%被销毁。[2020/8/13]

⑤然后，攻击者将在每个LP上不断循环调用skim(to:LP)函数。该函数是为了重新调整LP内的两种代币的数量，将多余的代币发送到to参数。由于攻击者配置的目的地是LP本身，不平衡将不断增加，更多的奖励代币将被创建。

每一次的转移都会：

从一种LP发送YEED代币到另外一种LP。

向LP发送因错误产生的YEED代币奖励

通过以上方式，攻击者保持了LP内代币的不平衡，并且每次都会增加LP内YEED代币的数量。

比如，我们可以看到在BSC-ZEED-YEED2LP中，最初的YEED的数量是96个。

而当攻击者调用skim(to:attacker_contract)以后，LP中的YEED余额为368,560。

最后一次调用，则将368,560枚代币发送给了攻击者。

攻击者对3个不同的货币对进行处理，总数为87,479,473枚YEED代币：

83,127,354YEED来自BSC-USD-YEEDLP对。

3,983,869YEED来自BSC-HO-YEEDLP对。

368,560YEED来自BSC-ZEED-YEEDLP对。

⑥然后，攻击者进行多次互换，将其收益转换为BSC-USD。

比如，用户A向用户B发送了100个YEED，如果rewardFee是10。

用户B收到90奖励

LPBSC-USD-YEED2收到10奖励

LPBSC-ZEED-YEED2收到10奖励

LPBSC-HO-YEED2收到10奖励

这样以来，就有20枚代币被错误地凭空创建了。

而真正的YEED奖励机制应该运营如下：

50%的奖励费用发送到_balances(LPBSC-USD-YEED2)

25%的奖励费用发送到_balances。

25%的奖励费用发送到_balances(LPBSC-HO-YEED2)。

写在最后

此次事件造成了104万美金的损失。由于资金在合约中，而合约具有自我销毁功能，所以该操作无法复原，即任何人都无法再取出这笔财产，包括攻击者本身。通过审计，我们可以了解到发送到LP的代币将破坏LP的平衡，并且审计也能发现奖励计算机制的错误。

标签：YEEDYEEBSCUSDyeed币是局吗BSCSRHOUSDT

fil币价格今日行情热门资讯