DOGE:黑客四連擊：Wiener DOGE, Last Kilometer, Medamon以及PIDAO項目被攻擊事件分析_DOGEY幣

據CertiK安全團隊監測，,WienerDOGE項目于北京時間2022年4月24日下午4時33分被惡意利用，造成了3萬美元的損失。攻擊者利用WDODGE的收費機制和交換池之間的不一致，發起了攻擊。

事件發生的根本原因是：通過緊縮的代幣合約造成發送方的LP對沒有被排除在轉賬費用之外。因此，攻擊者能夠將LP對中的通貨緊縮代幣耗盡，進而導致貨幣對價格失衡。

而隨后于同一天接連發生了另外三起惡意利用：

同天下午6時20分，LastKilometer項目被閃電貸攻擊利用，造成了26495美元的損失；

Rodeo發布黑客攻擊事件事后聲明及計劃:7月12日消息，Rodeo發布黑客攻擊事件事后聲明及計劃，該聲明主要內容包括：攻擊原因分析及損失說明（共計88萬美元），安全響應措施及恢復計劃，進一步安全措施和收益池整合計劃，更新路線圖。[2023/7/12 10:50:08]

同天晚上9時45分，Medamon項目被閃存貸攻擊利用，造成3159美元的損失；

緊接著，PI-DAO項目被閃存貸攻擊利用，造成了6445美元的損失。

這一系列攻擊的攻擊者與攻擊方法，與同一天早些時候發生的WienerDOGE相同。

DeFi量化對沖基金ForceDAO通過與CEX合作從黑客地址收回45枚ETH:DeFi量化對沖基金ForceDAO（FORCE）發推稱，通過與中心化交易所合作，目前已從黑客地址收回45枚ETH。此前報道，上周末，ForceDAO項目FORCE代幣被大量增發，此次攻擊共耗盡并清算總計總計價值183ETH（約36.7萬美元）的FORCE代幣。ForceDAO表示將進行快照并發行新代幣。[2021/4/7 19:53:17]

WienerDOGE攻擊流程

攻擊者通過閃電貸獲得了2900枚BNB。

攻擊者將2900枚BNB換成了6,638,066,501,83枚WDOGE

Lendf.Me黑客攻擊事件細節還原:4月19日，Lendf.Me遭到黑客攻擊，價值約2500萬美金的加密資產被盜；4月21日，黑客已將所盜資產全部返還。本次事件一些未曾披露的細節如下：

1. 19日12點起，dForce向各大資產發行方和去中心化金融協議報告了攻擊事件的原因和資產當下情況，各方要求出具來自的強制執行信以便下一步行動。

2. 19日22點53分，dForce正式向新加坡提出請求，希望配合出具強制執行信。

3. 20日上午起，新加坡陸續給其他團隊提供了強制執行信，要求團隊向直接提供跟案件相關的必要信息或進行相關賬號的監控和凍結。與各第三方團隊的溝通過程從未經過dForce團隊，dForce團隊也從未獲得1inch提供給的IP信息。

4. 20日，基于黑客留下的痕跡，安全團隊成功確定了準確的黑客畫像，并開始與國內外各方資源進行交叉對比，獲得突破性線索，離黑客越來越近。

5. 21日13點33分，黑客在重重壓力下，與我方主動溝通，并開始歸還部分資產。繼續溝通后，所有資產被成功找回。

6. 截至21日17點，未找到黑客真人信息，由于資產已被追回，我們已向提交撤案請求。[2020/4/22]

WdogE:199,177,850,468

動態 | 日本網絡服務商用戶40萬數據被盜或將被黑客用于挖掘加密貨幣:據日經新聞報道，日本千代田的一個網絡服務商在2018年12月20日宣布，黑客訪問利用亞馬遜網絡服務(AWS)的云服務，在未經授權的情況下可能盜取了網站大約40萬的客戶信息。該公司分析后認為，攻擊者的目的是在用戶未經允許的情況下，利用虛擬貨幣挖軟件竊取算力，挖掘數字貨幣。[2018/12/21]

WBNB:2978

LP的狀態：

將5,974,259,851,654枚WDOGE發送到LP，由于WDOGE比BNB多，所以LP現在處于不平衡狀態。

WDOGE:5,178,624,112,169

WBNB:2978

LP的狀態：

調用skim()函數，從LP中取回4,979,446,261,701枚WDOGE。由于攻擊者在調用skim()之前發送了大量的WDOGE，所以LP將支付大量的費用。這一操作清空了LP內的WDOGE的數量。

攻擊者還調用可sync()函數來更新LP內的儲備值。若干枚WDOGE和2978枚BNB的存在，造成了WDOGE的價格與WBNB相比異常昂貴。

5.最后，攻擊者用剩下的WDOGE換回了2978枚BNB，償還了閃電貸，賺取了78枚BNB。

而其他幾個項目被攻擊的流程步驟也相似：

閃電貸取得WBNB，并用WBNB換取LP中的通縮代幣；

直接將通縮的代幣轉移到LP對上；

調用skim()函數，迫使LP對輸回通縮代幣；

由于轉讓費的存在，攻擊者會重復步驟2~3，將LP對中的通縮代幣耗盡；

通過LP對中的價格不平衡來獲取利潤。

合約漏洞分析

當用戶轉移一定數量的WDOGE時，除了費用，還有4%的代幣將被銷毀。

因此，如果LP發送100枚WDOGE，其余額將減少104枚WDOGE。

所以，LP應該被排除在費用和代幣銷毀之外。

資產損失

審計的作用

CertiK審計專家認為：如果同時對代幣和LP合約進行審計，這個漏洞就可能被發現。然而，如果只有代幣合約被審計，那么交換機制將被視為一個外部依賴。而這種情況在審計過程中將會指出第三方依賴風險。具體為：如果是代幣合約，CertiK審計專家將會與項目方討論，確認是否需要除去LP對的手續費；如果是LP對方的合約，CertiK審計專家會提出通縮幣的討論，并且提醒項目方可能存在的風險。

作為區塊鏈安全領域的領軍者，CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止，CertiK已獲得了3200家企業客戶的認可，保護了超過3110億美元的數字資產免受損失。

Tags：DOGDOGEWDOWDOGEDOGEY幣MOLLYDOGE價格WDOG幣NEWDOGE

芝麻開門交易所