据CertiK安全团队监测,,WienerDOGE项目于北京时间2022年4月24日下午4时33分被恶意利用,造成了3万美元的损失。攻击者利用WDODGE的收费机制和交换池之间的不一致,发起了攻击。
事件发生的根本原因是:通过紧缩的代币合约造成发送方的LP对没有被排除在转账费用之外。因此,攻击者能够将LP对中的通货紧缩代币耗尽,进而导致货币对价格失衡。
而随后于同一天接连发生了另外三起恶意利用:
同天下午6时20分,LastKilometer项目被闪电贷攻击利用,造成了26495美元的损失;
Swapos V2合约疑似遭黑客利用,约46.8万美元的资产被盗:金色财经消息,据CertiK监测,Swapos V2合约疑似遭黑客利用,造成价值约46.8万美元的资产被盗。目前被盗资金已在攻击者地址。[2023/4/16 14:06:48]
同天晚上9时45分,Medamon项目被闪存贷攻击利用,造成3159美元的损失;
紧接着,PI-DAO项目被闪存贷攻击利用,造成了6445美元的损失。
这一系列攻击的攻击者与攻击方法,与同一天早些时候发生的WienerDOGE相同。
WienerDOGE攻击流程
zkSync将与buidl box合作于2月20日至3月19日举办首个zkSyncEra?系列黑客松:金色财经报道,基于ZKRollup的以太坊二层网zkSync宣布将与buidl box合作开启zkSyncEra?系列黑客松中的首个,此次黑客松于2月20日至3月19日举行,专注于帐户抽象和Web3安全,奖池为2.5万美元。[2023/2/18 12:15:04]
攻击者通过闪电贷获得了2900枚BNB。
攻击者将2900枚BNB换成了6,638,066,501,83枚WDOGE
WdogE:199,177,850,468
动态 | Upbit黑客正将被盗资产转移到去中心化交易所进行变现:Upbit一小部分被盗的以太坊已经被发送到了去中心化交易所Tokenlon。作为测试,黑客可能会将ETH转换为与EOS挂钩的令牌VEOS。有用户评论称,黑客正试图利用缺乏监督的去中心化交易所来“清算资金”。若黑客试图采用该策略进一步分散资金并最终变现,随后可以看到ETH大量被转换为EOS挂钩的代币,并转移到其他去中心化交易所。(BeIncrypto)[2019/12/14]
WBNB:2978
LP的状态:
将5,974,259,851,654枚WDOGE发送到LP,由于WDOGE比BNB多,所以LP现在处于不平衡状态。
网传HitBTC被黑客攻击,请投资者不要被相关传言误导:目前,朋友圈正在流传“HitBTC被黑客攻击,帐户已经无法登录,资金也无法取出”的相关传言,金色财经记者并未在网上找到相关信息,目前该传言的真实性有待商榷,请大家注意不要被相关传言所误导,金色财经正在与HitBTC相关工作人员进行联系以确认事件的真伪。[2018/1/6]
WDOGE:5,178,624,112,169
WBNB:2978
LP的状态:
调用skim()函数,从LP中取回4,979,446,261,701枚WDOGE。由于攻击者在调用skim()之前发送了大量的WDOGE,所以LP将支付大量的费用。这一操作清空了LP内的WDOGE的数量。
攻击者还调用可sync()函数来更新LP内的储备值。若干枚WDOGE和2978枚BNB的存在,造成了WDOGE的价格与WBNB相比异常昂贵。
5.最后,攻击者用剩下的WDOGE换回了2978枚BNB,偿还了闪电贷,赚取了78枚BNB。
而其他几个项目被攻击的流程步骤也相似:
闪电贷取得WBNB,并用WBNB换取LP中的通缩代币;
直接将通缩的代币转移到LP对上;
调用skim()函数,迫使LP对输回通缩代币;
由于转让费的存在,攻击者会重复步骤2~3,将LP对中的通缩代币耗尽;
通过LP对中的价格不平衡来获取利润。
合约漏洞分析
当用户转移一定数量的WDOGE时,除了费用,还有4%的代币将被销毁。
因此,如果LP发送100枚WDOGE,其余额将减少104枚WDOGE。
所以,LP应该被排除在费用和代币销毁之外。
资产损失
审计的作用
CertiK审计专家认为:如果同时对代币和LP合约进行审计,这个漏洞就可能被发现。然而,如果只有代币合约被审计,那么交换机制将被视为一个外部依赖。而这种情况在审计过程中将会指出第三方依赖风险。具体为:如果是代币合约,CertiK审计专家将会与项目方讨论,确认是否需要除去LP对的手续费;如果是LP对方的合约,CertiK审计专家会提出通缩币的讨论,并且提醒项目方可能存在的风险。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。
上周末,Polygon网络发表了对其扩展解决方案套件PolygonAvail的更新。Polygon网络还透露,其去中心化自治组织首次推出了针对dApp开发人员的以Polygon生态系统为重点的支.
马斯克获得465亿美元融资承诺后,推特董事会态度180度大转变。收购得到董事会成员一致同意,预计今年内完成,尚待监管方批准。媒体称,协议规定一旦马斯克放弃收购,就得赔偿推特、支付反向分手费.
4月23日,全球市值最高的运动品牌耐克和加密时尚潮牌RTFKT推出了其首款基于以太坊的NFT运动鞋.
加密货币的拥护者和对其感到好奇的人突然发现,资产管理巨头富达将开始允许投资者将比特币存入他们的401退休储蓄账户里了。从税收角度看,这似乎是个人以有利方式获得这一新兴资产类别的一种简单方式.
7:00-12:00关键词:绿地集团、三箭资本、Otherside、RogerVer1.三箭资本将总部从新加坡迁至迪拜;2.美国立法者重新提出法案.
我们先来回顾一下NFT市场,NFT市场在2021年增长了200倍以上,NFT交易的总价值在2020年仅有8250万美元,但到2021年就超过了170亿美元.
链资讯