前言
北京時間2022年4月30日,知道創宇區塊鏈安全實驗室監測到BSC鏈上的bDollar項目遭到價格操縱攻擊,導致損失約73萬美元。
知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。
基礎信息
攻擊者地址:0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e
攻擊合約:0x6877f0d7815b0389396454c58b2118acd0abb79a
以太坊網絡銷毀量超347.23萬枚ETH:金色財經報道,據Ultrasound數據顯示,以太坊網絡銷毀量超347.23萬枚ETH,本文撰寫時銷毀量為3,472,376.51枚ETH。其中,OpenSea銷毀230050.66枚ETH,ETHtransfers銷毀293553.61枚ETH,UniswapV2銷毀190883.31枚。注:自以太坊倫敦升級引入EIP-1559后,以太坊網絡會根據交易需求和區塊大小動態調整每筆交易的BaseFee,而這部分的費用將直接燃燒銷毀[2023/7/23 15:52:43]
tx:0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4
Lybra Finance于Arbitrum Goerli上推出v2測試網:7月20日消息,Lybra Finance于Arbitrum Goerli上推出v2測試網。v2升級后,用戶可以使用RocketPool、幣安、Swell的流動性質押代幣作為抵押物來鑄造eUSD,該版本同步推出了配套穩定幣peUSD。Lybra商務主管0xP表示,將eUSD轉化為peUSD更利于高頻交易。
DefiLlama數據顯示,Lybra TVL近4億美元,7月份增長108%。[2023/7/20 11:05:52]
CommunityFund合約:0xEca7fC4c554086198dEEbCaff6C90D368dC327e0
Coinbase為新加坡客戶新增USDC相關服務和抵押服務:金色財經報道,加密貨幣交易所運營商Coinbase Global宣布,正在為新加坡客戶推出購買USDC的免費服務,允許用戶在平臺上持有USDC而獲得獎勵,并為更有經驗的交易者推出USDC訂單簿,允許他們用USDC交易200多種資產。此外,該公司還為新加坡的客戶提供ETH、SOL、ADA、ATOM和XTZ的質押服務。[2023/5/17 15:07:20]
漏洞分析
漏洞關鍵在于CommunityFund合約中的claimAndReinvestFromPancakePool方法在使用Cake代幣進行代幣轉換時,會對換取的WBNB數量進行判斷并且會自動把換取的WBNB的一半換為BDO代幣;而之后合約會自動使用合約中的WBNB為池子添加流動性,若此時BDO代幣的價值被惡意抬高,這將導致項目方使用更多的WBNB來為池子添加流動性。
球星邁克爾·歐文與Oceidon聯合發布NFT系列,因設定地板價“只升不降”機制遭到批評:5月15日消息,本周早些時候,前英格蘭足球明星邁克爾·歐文(Michael Owen)與他的商業伙伴、位于格恩西島的區塊鏈技術提供商Oceidon共同推出了一個名為Legacy的NFT系列。然而,它很快招致了批評。
這些代幣可以以固定的地板價購買,并由用戶進行交易。但一旦NFT的需求減少,即使市場上有現成的買家,持有者也不允許以更低的價格出售。這意味著這些NFT將被人為地鎖定在高價位。如果對這些NFT的需求沒有回升,投資者可能會無限期地失去他們的資金,考慮到NFT市場的波動性,這是一種風險投資。(Crypto Potato)[2022/5/16 3:17:39]
而最為關鍵的是,攻擊者實施攻擊前,在WBNB/BDO、Cake/BDO、BUSD/BDO池子中換取了大量BDO代幣導致BDO價格被抬高。
在我們對攻擊交易進行多次分析之后,發現事情并沒有那么簡單,該次攻擊極有可能是被搶跑機器人搶跑交易了,依據如下:
1、該筆攻擊交易比BSC鏈上普通交易Gas費高很多,BSC鏈上普通交易默認Gas費為5Gwei,而該筆交易竟高達2000Gwei。
2、我們發現該攻擊合約與攻擊者地址存在多筆搶跑交;
3、我們在相同區塊內找尋到了真實攻擊者的地址與交易,該交易被回滾了。
攻擊流程
1、攻擊者使用閃電貸貸款670枚WBNB;
2、之后攻擊者將WBNB在各個池子中換取大量BDO代幣;
3、隨后攻擊者再次使用閃電貸貸款30516枚Cake代幣;
4、將貸款的Cake代幣進行swap,換取400WBNB,其中200枚被協議自動換取為BDO代幣;
5、攻擊者將WBNB換取Cake代幣用于歸還閃電貸;
6、最后,攻擊者將升值后的3,228,234枚BDO代幣換取3020枚WBNB,還款閃電貸671枚,成功套利2381枚WBNB價值約73萬美元。
總結
本次攻擊事件核心是合約會為流動性池自動補充流動性,而未考慮代幣價格是否失衡的情況,從而導致項目方可能在價格高位對流動性進行補充,出現高價接盤的情況。
建議項目方在編寫項目時多加注意函數的邏輯實現,對可能遇到的多種攻擊情況進行考慮。
在此提醒項目方發布項目后一定要將私鑰嚴密保管,謹防網絡釣魚,另外,近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
PocketNetwork將為波卡的去中心化基礎設施提供更廣泛的應用支持。 PocketNetwork(https://www.pokt.network/)是去中心化的Web3基礎設施協議,與領.
1900/1/1 0:00:00BitfinexPay如何使加密貨幣交易變得順暢和容易?自比特幣誕生和加密貨幣市場發展以來,由于其快速、直接和安全的特性,人們逐漸開始接受加密貨幣支付.
1900/1/1 0:00:00北京時間2022年8月2日13點,CertiK安全團隊監測到ReaperFarm的ReaperVaultV2合約被惡意利用,導致了價值超過160萬美元的損失.
1900/1/1 0:00:00攻略上集介紹了Aptos錢包以及域名服務。如果你過了本攻略的上集,請點擊鏈接:https://www.coinlive.com/news/detail/?id=11018 NFT市場 1.Top.
1900/1/1 0:00:00Bitfinex上架土耳其體育俱樂部Fenerbah?e(FB)的粉絲代幣最先進的數字代幣交易平臺Bitfinex(https://www.bitfinex.
1900/1/1 0:00:00據最新消息,鑒于TRX和USDD市場的行情仍處于較極端的情況,JustLend已于6月28日進一步調整了TRX和USDD市場參數。調整之后,用戶存入TRX和USDD即可獲得高額存款APY.
1900/1/1 0:00:00