北京時間2022年4月24日下午4時33分,CertiK審計團隊監測到WienerDOGE項目被惡意利用,造成了3萬美元的損失。攻擊者利用WDODGE的收費機制和交換池之間的不一致,發起了攻擊。
事件發生的根本原因是:通過緊縮的代幣合約造成發送方的LP對沒有被排除在轉賬費用之外。因此,攻擊者能夠將LP對中的通貨緊縮代幣耗盡,進而導致貨幣對價格失衡。
而隨后于同一天內接連發生了另外三起惡意利用:
慢霧:區塊鏈因黑客攻擊損失總金額已超300億美元:金色財經報道,據慢霧統計數據顯示,自2012年1月以來,區塊鏈黑客造成的損失總金額約為30,011,604,576.24美元;黑客事件總數達到1101起。
其中Exchange、ETH Ecosystem、Bridge是在黑客攻擊中損失最大的類別,損失金額分別為10,953,323,803.39美元、3,123,297,416.28美元,2,005,030,543.30美元。另外合約漏洞、Rug Pull、閃電貸攻擊是最常見的攻擊方式,分別發生黑客事件137起,106起,87起。[2023/7/7 22:24:09]
下午6時20分,LastKilometer項目被閃電貸攻擊利用,造成了26495美元的損失;
SkaleNetwork已與ETHGlobal合作,以支持ETHOnline黑客馬拉松:9月1日,據Smart Crypto News發推表示,以太坊原生模塊化區塊鏈網絡SkaleNetwork與以太坊生態系統開發者社區ETHGlobal達成戰略合作關系,將共同支持2022年9月2 -28日舉行的ETHOnline黑客馬拉松活動。[2022/9/1 13:01:52]
晚上9時45分,Medamon項目被閃存貸攻擊利用,造成3159美元的損失;
緊接著,PI-DAO項目被閃存貸攻擊利用,造成了6445美元的損失。
動態 | 加密交易所Altsbit在遭受黑客攻擊后宣布于5月8日關閉:據Coindesk消息,意大利加密貨幣交易所Altsbit在遭到黑客攻擊后,宣布將于2020年5月8日關閉。據悉,該交易所被盜資金主要為BTC和ETH。[2020/2/10]
這一系列攻擊的攻擊者與攻擊方法,與同一天早些時候發生的WienerDOGE相同。
攻擊步驟
①攻擊者通過閃電貸獲得了2900枚BNB。
②攻擊者將2900枚BNB換成了6,638,066,501,83枚WDOGE。
日媒稱黑客已洗白價值5.34億美元的被盜新經幣:據日本媒體報道,東京網絡安全公司表示通過對被盜NEM交易記錄分析,現在大多數被盜的新經幣已經通過暗網渠道洗清。1月26日,日本比特幣交易所Coincheck遭黑客攻擊,交易所內5. 23 億個NEM幣被盜,價值5. 3 億美元,約 26 萬用戶受害。這次被盜是繼2014年Mt.Gox破產事件后,日本加密貨幣史上最大的黑客盜幣事件。[2018/3/28]
●LP的狀態:
○WdogE:199,177,850,468
○WBNB:2978
③將5,974,259,851,654枚WDOGE發送到LP,由于WDOGE比BNB多,所以LP現在處于不平衡狀態。
●LP的狀態:
○WDOGE:5,178,624,112,169
○WBNB:2978
④調用skim()函數,從LP中取回4,979,446,261,701枚WDOGE。由于攻擊者在調用skim()之前發送了大量的WDOGE,所以LP將支付大量的費用。這一操作清空了LP內的WDOGE的數量。
攻擊者還調用可sync()函數來更新LP內的儲備值。若干枚WDOGE和2978枚BNB的存在,造成了WDOGE的價格與WBNB相比異常昂貴。
⑤最后,攻擊者用剩下的WDOGE換回了2978枚BNB,償還了閃電貸,賺取了78枚BNB。
而其他幾個項目被攻擊的流程步驟也相似:
閃電貸取得WBNB,并用WBNB換取LP中的通縮代幣;
直接將通縮的代幣轉移到LP對上;
調用skim()函數,迫使LP對輸回通縮代幣;
由于轉讓費的存在,攻擊者會重復步驟2~3,將LP對中的通縮代幣耗盡;
通過LP對中的價格不平衡來獲取利潤。
漏洞分析
當用戶轉移一定數量的WDOGE時,除了費用,還有4%的代幣將被銷毀。
因此,如果LP發送100枚WDOGE,其余額將減少104枚WDOGE。
所以,LP應該被排除在費用和代幣銷毀之外。
資產去向
寫在最后
如果同時對代幣和LP合約進行審計,這一風險因素就可以被發現。
然而,如果只有代幣合約被審計,那么交換機制將被視為一個外部依賴。
而這種情況在審計過程中將會指出第三方依賴風險。具體為:如果是代幣合約,CertiK審計專家將會與項目方討論,確認是否需要除去LP對的手續費;如果是LP對方的合約,CertiK審計專家會提出通縮幣的討論,并且提醒項目方可能存在的風險。
1.打開:打開谷歌瀏覽器,嵌入Nami錢包拓展程序。https://chrome.google.com/webstore/detail/lpfcbjknijpeeillifnkikgncikgf.
1900/1/1 0:00:00摘要 「政策動向」: -美國財政部確認,加密礦工、錢包提供商不受國稅局稅收報告的約束-美國SEC對加密借貸公司BlockFi處以創紀錄的1億美元罰款-俄羅斯經濟部提出加密挖礦合法化-Binanc.
1900/1/1 0:00:001.前言 北京時間3月15日晚,知道創宇區塊鏈安全實驗室監測到Gnosis鏈上的借貸類協議HundredFinance與Agave均遭遇了閃電貸襲擊.
1900/1/1 0:00:00加入DAO,即代表認同它的工作方式 為了理解人們為何會加入一個去中心化的自治組織,“無許可/Permissionlessness”這個詞是一個不錯的切入點.
1900/1/1 0:00:00DAOrayakiDAO研究獎金池:大約一周前,我們發布了下面這條推文,并收到了大量回復: 文檔和團隊知識管理工具是DAO的一大痛點.
1900/1/1 0:00:00對稱性、信息完整性、合作模型是DeFi協議中普遍存在的一些博弈模型。博弈論是加密生態系統的內在組成部分,在DeFi中尤為重要。從激勵模型到治理投票動態,博弈論是DeFi許多協議設計核心.
1900/1/1 0:00:00