買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > ETH > Info

BNB:首發 | 數次閃電貸無成本套利125萬美元 New Free DAO攻擊事件分析_WBNB

Author:

Time:1900/1/1 0:00:00

2022年9月8日,CertiKSkynet天網監測到NewFreeDAO(NFD)項目遭遇了閃電貸攻擊。

漏洞在NFD項目部署的一個未經驗證的獎勵合約中,攻擊者利用閃電貸借入NFD代幣,并將其發送到攻擊合約。隨后攻擊合約則調用未經驗證的獎勵合約,向攻擊者發送更多的NFD代幣。

攻擊者在3次攻擊中重復這個過程,獲取了4481個WBNB,價值約125萬美元。

由于攻擊者大量拋售NFD代幣,該代幣的價格已經暴跌超過99%。

攻擊步驟

①攻擊者部署了一個惡意合約。在同一筆交易中,它調用了以下函數,將自己添加為合約成員。

WOOFi DEX 推出鏈上衍生品測試版本:6月26日消息,WOOFi DEX 推出鏈上衍生品測試版本,用戶可以通過訂單簿進行交易,最高杠桿為 10 倍。該衍生品產品由 Orderly Network 提供流動性支持。[2023/6/26 22:01:15]

②攻擊者執行了三次閃電貸攻擊,借助第一筆閃電貸款,借入250個WBNB,并將其交易為6,313,508個NFD代幣。

③這些代幣被發送到一些未經驗證的合約中。

④這調用了0xe2f9d09c,輸入NFD代幣地址0x0000000000000000000038c63a5d3f206314107a7a9fe8cbba29d629d4f9。

Stargate上線美元穩定幣MAI流動性池:11月23日消息,基于LayerZero的跨鏈橋Stargate上線美元穩定幣QiDAO推出的美元穩定幣MAI流動性池,支持MAI在以太坊、Polygon、BNB Chain、Avalanche,、Arbitrum、Optimism之間進行跨鏈轉賬。[2022/11/23 8:01:48]

⑤這觸發了NFD項目部署的另一個未經驗證的獎勵合約0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e.0x6811e3b9()。

之后,未驗證的合約實際上從獎勵合約中收到了額外的525,283個NFD代幣——總計6,838,792個NFD代幣,這些代幣被發回給了攻擊合約。

公鏈Neo將于8月24日進行Neo-CLIv3.4.0升級:8月19日消息,公鏈Neo發布Neo-CLIv3.4.0升級公告,將于8月24日部署到主網,該版本的改進和優化包括:在原生合約Contract Management中新增一個名為Hash Method的方法、將Neo.Json從Neo移到一個獨立的項目以降低Neo的耦合性、在Token Tracker插件的GetNep17Balances接口中新增對name/symbol/decimals的支持、修復了一些已知問題。Neo表示,v.3.4.0修改了原生合約和虛擬機,所以需要重新同步數據。[2022/8/19 12:36:17]

⑥在上述交易中,NFD合約錯誤地釋放了額外的525,283NFD。因此當攻擊者完成攻擊時,獲取了總計343,323,371個NFD代幣,在償還了最初的250WBNB貸款后,獲利4481WBNB,總價值約125萬美元。

Ava Labs瀏覽器插件錢包Core增加對以太坊、Avalanche子網和EVM兼容鏈的支持:8月9日消息,Ava Labs發布的瀏覽器插件錢包Core發布新版本,添加了對以太坊、自定義 Avalanche 子網以及所有 EVM 兼容鏈的支持,允許用戶跨多個區塊鏈查看、管理和使用資產,包括 Avalanche、BNB Chain、Tron、Fantom 以與 EVM 兼容的 Layer2 區塊鏈。

Core是由Ava Labs最近推出的免費非托管 Web3 瀏覽器插件,功能包括顯示投資組合、橋、交易、購買等。[2022/8/9 12:12:38]

⑦最后攻擊者通過兩筆交易,將2,000WBNB換為556,556.72USDT。目前攻擊者錢包仍持有2,481WBNB。

漏洞分析

本次攻擊事件的漏洞位于NFD項目部署的一個未經驗證的獎勵合約。由于NFD合約的源代碼在BSCScan上未被驗證,因此還無法確定攻擊者用來利用合約的確切機制。

資金去向

攻擊者總共獲得了4481個WBNB,并將其中的2000個換成了55.7萬枚USDT,剩下的WBNB仍然在攻擊者的賬戶中。

將2000WBNB交易為USDT的兩筆交易:

https://bscscan.com/tx/0x8c035fc9c3d944b3dd4a0ea721c119240cb624e79b7625a16173ad6682410599?

https://bscscan.com/tx/0xda4b4de6ecacfe9b8b60167a2010630aeec103ab51920eb2e1b94ba1fef6c95b?

相關地址

攻擊者賬戶:

https://bscscan.com/address/0x22c9736d4fc73a8fa0eb436d2ce919f5849d6fd2?

攻擊合約:

https://bscscan.com/address/0xa35ef9fa2f5e0527cb9fbb6f9d3a24cfed948863?

未經驗證的獎勵合約:

https://bscscan.com/address/0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e?

WBNB-USDT對:

https://bscscan.com/address/0x16b9a82891338f9ba80e2d6970fdda79d1eb0dae?

USDT-NFD對:

https://bscscan.com/address/0x26c0623847637095655b2868c3182b2285bdaeaf?

寫在最后

攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會持續于官方公眾號發布與項目預警相關的信息。

CertiK的端到端安全解決方案,從智能合約審計和KYC項目背景調查服務,到Skynet天網動態掃描系統和SkyTrace等區塊鏈分析工具,以及漏洞賞金計劃,助力每一個項目充分發揮潛力的同時為Web3.0打造用戶和投資者高參與的生態系統。

來源:金色財經

Tags:NFDBNBWBNBBSCSNFD價格togetherbnb換裝都有什么衣服wbnb和bnb區別和聯系BSCS價格

ETH
ABEY:2022 年 9 月的加密市場展望 最壞的情況還沒有到來_ETH

受歡迎的加密貨幣交易員BenjaminCowen在一個新的視頻更新中通知他的766,000名YouTube訂閱者,比特幣(BTC)在過去12年的9月中有9次發生下跌事件.

1900/1/1 0:00:00
CON:ETH結束震蕩迎來短線上漲 日間能否企穩 多軍能否就勢沖刺新高_以太坊

—市場消息面 以太坊的合並升級已經是迫在眉睫,今天以太坊的合並有什麼樣最新的進展?目前有很多人對9月6號和9月15號這兩個日期存在著很多的疑問,到底以太坊的合並是9月6號還是9月15號.

1900/1/1 0:00:00
HAI:區塊鏈和預言機如何加速物聯網經濟發_Oraichain Token

互聯網持續飛速發展,從未停下腳步。過去二十年中,互聯網的連接性實現了前所未有的提升,全球各地的人們都享受到了高速通信的福利,參與到各類互聯網公共論壇,與幾十億網友交流互動,并能在幾秒鐘內電子轉賬.

1900/1/1 0:00:00
MIR:MIR of BSC在熊市中崛起的鏈游:獨特的NFT-USDT質押贖回機制_GNFT

一.引言 加密游戲即GameFinance在2021年和2022年上半年大放異彩,誕生了一批優秀鏈游如跑鞋,星鯊,Bnx等.

1900/1/1 0:00:00
WORLD:如何讓虛擬人有情感, 半年融資6000萬美金的Inworld AI為何獲得Intel垂青?_DAI

虛擬人是元宇宙的一個重要組成部分,也將是價值生產的主體。根據驅動技術不同虛擬人可分為真人驅動和智能驅動,真人驅動即由真人結合動捕技術進行實時驅動,比如虛擬主播“許安一”,在直播100多天里吸引了.

1900/1/1 0:00:00
比特幣:盤中寶——美聯儲加息預期仍然較強 加密市場聯動美股反彈_ape幣價格今日行情比特幣價格

美聯儲主席鮑威爾及其同僚都表示將繼續采取強硬措施以遏制通脹上漲,美國上周初請失業救濟數據降至三個半月低點,強化了美聯儲可能采取更加激進加息措施的預期.

1900/1/1 0:00:00
ads