EOS:Bogged Finance攻擊事件分析_CLUB

據官方tg群消息，北京時間5月22日晚BoggedFinance項目遭遇閃電貸攻擊，隨后BOG代幣價格斷崖式下跌。

知道創宇區塊鏈

安全

實驗室

第一時間跟進分析本次安全事件。

以造成本次閃電貸攻擊的其中一筆交易為例，對應具體交易hash如下：0x47a355743456714d9abc23e1dff9e26430e38e84cc8b8e0a0b4ca475918f3475

BTC36 CLUB 與國際基金 SIGMA BOND 達成戰略合作:據官方消息，BTC36 CLUB與國際基金SIGMA.BOND 達成戰略合作，雙方將在加密數字貨幣期貨市場繼續展開更密切的合作。

據了解，BTC36 CLUB是一家專注投資于比特幣期貨合約的國際基金，其擁有強大的操作團隊。據2019年至今的1年數據顯示，BTC36 CLUB的利潤已突破30億美金。

此次與管理規模達70億美金的國際基金 SIGMA BOND 合作，將放眼開拓更大的國際市場。成立初期以散戶為主的BTC36 CLUB將逐步轉向機構客戶市場為導向，放眼以更具有競爭力的合約產品攻入市場。官方表示：“迪拜皇室基金近期也將投入高達5億美金認購此合約產品。目前BTC36 CLUB只與美國的大型交易所合作，暫時并無與國內的任何一家交易所擁有業務上的合作。”[2020/11/30 22:33:14]

黑客地址0x4622A1f3d05DcF5A0589c458136C231009B6A207通過攻擊合約0xe576790f35A8cC854d45b9079259Fe84F5294e07進行閃電貸攻擊，通過調用攻擊合約中攻擊函數，傳入參數15000000000000000000000，通過BankController合約進行閃電借貸15000BNB，通過WBNB合約兌換后開始進行套利攻擊。

動態 | BOS執行團隊結構升級 社區自治即將進入新階段:據IMEOS消息，近日，BOS執行團隊(BET)舉行了針對BOS社區自治升級方案的討論會議，該升級方案旨在改善自治組織結構，提高社區自治效率，讓BOS社區自治進入新階段。參與會議的BET成員共有22人，根據“多數決議”規定，重要決定需要得到超過半數(11)成員的支持。[2019/9/9]

本次閃電貸攻擊主要是由于BoggedFinance合約中_transferFrom函數中利用_txBurn函數出現邏輯漏洞，代幣合約對所有交易應當收取5%的交易額作為交易費用來銷毀，其中4%分紅給lp提供者，1%被燒毀，但在_transferFrom函數中未校驗轉賬地址，允許向自己轉賬，在自我轉賬的過程中，僅扣除1%手續費，而包括攻擊者在內的lp提供者獲得4%的分紅獎勵，所以攻擊者可以通過添加大量流動性進行流動性挖礦，并且反復自我轉賬獲利，最終移除流動性從而完成攻擊過程。

聲音 | Alexandre Bourget：EOS的不可逆向修改令其網絡安全更出色:EOS Canada 的 Alexandre Bourget 在《EOSLaoMao · 寧話區塊鏈》的節目中稱“在EOS上，節點們創造記錄。他們是高度可見的實體，如果他們篡改了記錄，我們就會知道他是誰，我們可以審查交易記錄，然后懲罰他們。EOS網絡的安全來自于彼此之間的信任，如果節點們不能保證網絡安全，我們就擁有踢他們出局，要求他們歸還我們資產的權利，這在其他網絡上是完全做不到的。另外，EOS的交易具有不可逆向修改的特性。如果你有較大數額的交易額，你可以等它過了不可逆轉的期限，這樣交易就不能在網絡上發生改變了，安全系數更高。不只是越長的區塊鏈越能保證安全，不可逆向修改的特性也能保證交易的安全。”[2018/8/28]

通過查看瀏覽器交易顯示，攻擊者在該筆交易中分4次將1298.20BNB、1489.05BNB、1707.95BNB、1959.03BNB在PancakeSwap中兌換為47770BOG，并用共計8434.07BNB和281174.22BOG在PancakeSwap的BNB-BOG池中添加流動性

如下圖所示，攻擊者在該筆交易中通過以下5筆交易將如下所示數量的WBNB與BOG添加流動性并將所獲得的流動性代幣進行抵押挖礦。

圖1添加流動性并進行你抵押挖礦為多次轉賬準備

隨后，攻擊者通過攻擊合約多次進行自我轉賬，進行獲利。

圖2反復自我轉賬

最后，攻擊者通過Nerve

跨鏈

橋將它們分批次轉換為

ETH

進行套現后移除流動性，返還閃電貸完成本次攻擊。

圖3移除流動性

圖4返還閃電貸

在攻擊發生后，項目社區內疑似管理員身份發布了相關通知，且現合約中已關停相關手續費收取功能，對應的_burnRate被設置為0，不存在套利空間。

圖5社群通知

圖6關閉手續費收取功能

最近BSC鏈上接連發生閃電貸攻擊事件，隨著鏈上

DeFi

生態的飛速發展，攻擊事件頻頻爆發。高級復雜的閃電貸攻擊手法，已經在以太坊生態中上演過很多次。可見，隨著其他鏈上DeFi生態的發展，攻擊者已逐漸將攻擊目標擴大到其他鏈的DeFi生態，DeFi安全問題也越來越需要被重視。

Tags：BNBBOGEOSCLUBBNB2.0價格Bogdanoff ForeverLEOS價格Mint Club

Gate交易所