BDO:創宇區塊鏈｜bDollar 項目遭受攻擊 價格如何能成為一把利器_shibdoge幣燃燒

北京時間 2022 年 4 月 30 日，知道創宇區塊鏈安全實驗室 監測到 BSC 鏈上的 bDollar 項目遭到價格操縱攻擊，導致損失約 73 萬美元。

知道創宇區塊鏈安全實驗室 第一時間跟蹤本次事件并分析。

攻擊者地址：0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e

攻擊合約：0x6877f0d7815b0389396454c58b2118acd0abb79a

法庭文件顯示Yuga Labs沒有進行“無聊猿”圖像版權注冊:1月27日消息，最新披露的法庭文件顯示，“無聊猿”Bored Ape Yacht Club(BAYC)的母公司Yuga Labs沒有為該系列中的圖像進行任何版權注冊，這意味著該公司并不擁有“無聊猿”BAYC的圖像版權。

此前Yuga Labs因NFT藝術家Ryder Ripps在“RR/BAYC”NFT系列中使用“無聊猿”圖像對其發訴訟，但僅指控其涉嫌虛假廣告、商標侵權和域名搶注且并未涉及版權糾紛。（beincrypto）[2023/1/27 11:32:13]

tx：0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4

Meta將停止初代Quest功能更新:1月10日消息，Facebook母公司Meta表示，不再對初代虛擬現實設備 Quest 1進行功能更新，還將取消Quest 1的一些社交功能。?但該公司表示，2024年之前還會向Quest 1提供“重大錯誤修復和安全補丁”服務。

Meta通過電子郵件向用戶發送的通知顯示，公司將停止為Quest 1提供新功能，原有的大部分功能都會繼續正常運行，但用戶未來無法“創建或加入派對”，并且“目前可以訪問Meta Horizon Home社交服務的用戶將在2023年3月5日失去這些功能。”（IT之家）[2023/1/10 11:03:43]

CommunityFund 合約：0xEca7fC4c554086198dEEbCaff6C90D368dC327e0

德意志銀行：由FTX引發的“第二次加密寒冬”是一個凈利好:金色財經報道，全球銀行對“后 FTX 時代”的加密行業前景持積極態度。摩根大通的股票分析師Steven Alexopoulos 認為：“加密生態系統最近的所有崩潰都來自中心化參與者，而不是來自去中心化協議，FTX 破產更像是‘退后一步但會向前邁進兩步’，勢必會加快推動加密監管時間表” 。德意志銀行宏觀策略師Marion Laboure 表示：“盡管投資者遭受了重大損失，但我們相信由 FTX 引發的第二個加密寒冬其實是一個凈利好，監管機構會要求加密公司遵守傳統投資產品規則，促使加密生態系統變成一個成熟的金融領域。”（finews）[2022/11/23 8:00:29]

漏洞關鍵在于 CommunityFund 合約中的 claimAndReinvestFromPancakePool 方法在使用 Cake 代幣進行代幣轉換時，會對換取的 WBNB 數量進行判斷并且會自動把換取的 WBNB 的一半換為 BDO 代幣；而之后合約會自動使用合約中的 WBNB 為池子添加流動性，若此時 BDO 代幣的價值被惡意抬高，這將導致項目方使用更多的 WBNB 來為池子添加流動性。

印度央行副行長：央行數字貨幣為跨境支付提供最佳解決方案:6月2日消息，印度央行副行長Sankar表示，大多數加密貨幣的內在價值為零。央行數字貨幣可以扼殺私人加密貨幣。印度央行有條不紊地致力于推出央行數字貨幣。印度央行將在央行數字貨幣上采取有條理的和漸進的方法。央行數字貨幣為跨境支付提供了最佳解決方案。（金十）[2022/6/2 3:59:13]

而最為關鍵的是，攻擊者實施攻擊前，在 WBNB/BDO、Cake/BDO、BUSD/BDO 池子中換取了大量 BDO 代幣導致 BDO 價格被抬高。

在我們對攻擊交易進行多次分析之后，發現事情并沒有那么簡單，該次攻擊極有可能是被搶跑機器人搶跑交易了，依據如下：

1、該筆攻擊交易比 BSC 鏈上普通交易 Gas 費高很多，BSC 鏈上普通交易默認 Gas 費為 5Gwei，而該筆交易竟高達 2000Gwei。

2、我們發現該攻擊合約與攻擊者地址存在多筆搶跑交；

3、我們在相同區塊內找尋到了真實攻擊者的地址與交易，該交易被回滾了。

1、攻擊者使用閃電貸貸款 670 枚 WBNB；

2、之后攻擊者將 WBNB 在各個池子中換取大量 BDO 代幣；

3、隨后攻擊者再次使用閃電貸貸款 30516 枚 Cake 代幣；

4、將貸款的 Cake 代幣進行 swap，換取 400WBNB，其中 200 枚被協議自動換取為 BDO 代幣；

5、攻擊者將 WBNB 換取 Cake 代幣用于歸還閃電貸；

6、最后，攻擊者將升值后的 3,228,234 枚 BDO 代幣換取 3020 枚WBNB，還款閃電貸 671 枚，成功套利 2381 枚 WBNB 價值約 73 萬美元。

本次攻擊事件核心是合約會為流動性池自動補充流動性，而未考慮代幣價格是否失衡的情況，從而導致項目方可能在價格高位對流動性進行補充，出現高價接盤的情況。

建議項目方在編寫項目時多加注意函數的邏輯實現，對可能遇到的多種攻擊情況進行考慮。

在此提醒項目方發布項目后一定要將私鑰嚴密保管，謹防網絡釣魚，另外，近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：WBNBBDOBNBCAKEWBNB價格shibdoge幣燃燒togetherbnb破解版DryCakeSwap

幣安幣