ANC:Dot Finance閃電貸安全事件分析-ODAILY_PIC Finance

前言

8月25日，知道創宇區塊鏈安全實驗室監測到BSC鏈上的DeFi協議DotFinance遭遇閃電貸襲擊，價值跌落近35%。實驗室第一時間跟蹤本次事件并分析。

涉及對象

黑客地址：

0xDFD78a977c08221822F6699AD933869Da6d9720C

波卡委員會批準Acala提案，10萬枚DOT將用于ORML模塊的漏洞懸賞:3月8日消息，波卡委員會宣布已批準Acala的提案，將設立10萬枚DOT用于ORML模塊的漏洞懸賞。據了解，ORML是波卡的實時運行模塊庫，被廣泛應用于波卡和Kusama的平行鏈。[2022/3/8 13:44:04]

攻擊合約地址：

0x33f9bB37d60Fa6424230e6Cf11b2d47Db424C879

受害合約地址：

0x16fd050f05f8fc361cf9083aa3f624a2bf7e914d0xbfca3b1df0ae863e966b9e35b9a3a3fee2ad8b07

多資產投資平臺eToro宣布添加支持DOT和FIL:10月6日消息，多資產投資平臺eToro宣布添加支持DOT和FIL，eToro現在在其平臺上提供31種加密貨幣資產。（Invezz）[2021/10/6 20:09:08]

攻擊涉及主要函數分析

分析交易哈希

0x68170a309ab2e944e178ccf9bf6f19e25a3f356031ce53539bb9669fc77172f2

swap函數

1.整個交易都始于PancakePairswap函數

聲音 | 余弦：DeepDotWeb暗網導航被端，但又不斷冒出新勢力:慢霧科技聯合創始人余弦發微博稱，繼暗網三大市場被端了后，DeepDotWeb 暗網導航也被端了，FBI 手上的比特幣等數字貨幣籌碼又多了不少。雖然如此，暗網又不斷冒出了新勢力。[2019/5/25]

2.為攻擊提供資金支持

getreward函數

1.使用balanceOf(address(this))獲取CAKE代幣余額

2.通過CAKE代幣余額來鑄造獎勵

簡要過程及原理分析

1.黑客使用PancakeSwap閃電貸獲得初始資金100Cake代幣；

2.通過將Cake代幣打入VaultPinkBNB合約，來影響getReward函數獲取合約Cake代幣真實值，同時performanceFee參數受Cake代幣真實值影響數值巨大；

3.最后mintFor函數使用受影響的performanceFee參數向黑客鑄造大量pink代幣獎勵；

總結

此次攻擊屬于PancakeBunny同類型的攻擊事件，迄今為止此類攻擊事件已發生多次，知道創宇區塊鏈安全實驗室再次提醒，近期BSC鏈上頻頻爆發攻擊事件，合約安全愈發需要得到迫切重視，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：CAKEANCDOTORMPancakeSwapPIC Financepolkadot翻譯WORM

幣安app官方下載最新版