加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

SafeDollar 歸零 Polygon生態的“潘多拉魔盒”已打開?_SAFE:SafeMars Protocol

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間6月28日,鏈必安-區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)輿情監測顯示,Polygon生態算法穩定幣項目SafeDollar遭到黑客攻擊。攻擊事件發生后,SafeDollar項目所發行的穩定幣(SDO)價格從1.07美元,瞬間跌至歸零。

有消息指出,一份未經證實的合約抽走了25萬美元的USDC和USDT;后經Rugdoc.io分析證實,此次攻擊事件中黑客總共獲利價值25萬美元的USDC和USDT。隨后,SafeDollar項目方發布公告,要求投資者停止所有與SDO相關的交易。目前,SDO交易已暫時中止。

鑒于此次攻擊事件所具備的標志意義,成都鏈安·安全團隊第一時間介入分析。繼5月初BSC(幣安智能鏈)諸多鏈上項目頻頻被黑之后,6月末Polygon生態也開始被黑客盯上,“潘多拉魔盒”是否已經悄然開啟?借此事件,成都鏈安通過梳理攻擊流程和攻擊手法,提醒Polygon生態項目加強安全預警和防范工作。

Hashkey、Bixin領投Safeheron Pre-A+輪融資:4月7日消息,一站式開源自托管服務供應商Safeheron于2023年4月7日宣布完成Pre-A+輪融資,由Hashkey Capital和Bixin Ventures聯合領投。

此次Pre-A+輪融資額將用于推進工程落地和技術科研,包括全新MPC算法、TEE硬件隔離技術和機構級解決方案,滿足客戶多樣化安全需求。目前Safeheron正在進行新一輪A輪融資。[2023/4/7 13:50:38]

二、事件分析

此次攻擊事件中,攻擊者利用PLX代幣轉賬時實際到賬數量小于發送數量以及SdoRewardPool合約抵押和計算獎勵上存在的邏輯缺陷,借助“閃電貸”控制SdoRewardPool合約中抵押池的抵押代幣數量,進而操縱獎勵計算,從而獲得巨額的SDO獎勵代幣,最后使用SDO代幣將SDO-USDC和SDO-USDT兩種兌換池中USDC和USDT全部兌換出來。

多簽錢包GnosisSafe啟動“Safe守護者計劃”:5月3日消息,多簽錢包GnosisSafe啟動“Safe守護者計劃”(SafeGuardiansProgramvol.1),并將分配5000萬枚SAFE代幣(占總供應量的5%)獎勵給Safe守護者,其中2.5%可立即申領,另外2.5%將在4年內釋放。

守護者指任何已為Safe生態系統做出積極貢獻的社區活躍成員,目前已開啟Safe守護者申請提交程序。此前消息,GnosisSafe關于成立SafeDAO的提案獲得通過,計劃將空投SAFE代幣。[2022/5/3 2:47:36]

攻擊者地址:

0xFeDC2487Ed4BB740A268c565daCdD39C17Be7eBd

攻擊合約:

0xC44e71deBf89D414a262edadc44797eBA093c6B0

ChainSafe推出基于Rust語言的Filecoin客戶端Forest:10月22日消息,加拿大科技公司ChainSafe推出基于Rust語言的Filecoin客戶端Forest。目前Forest在Filecoin主網發布了alpha測試版本,ForestRust客戶端能夠同步和驗證Filecoin網絡,也可以作為Filecoin網絡上的一個替代客戶端來查詢狀態。該測試版已修復了16個被Sigma Prime審計出來的漏洞,目前正在等待最終的審計報告。此外,該測試版還包括消息池、狀態管理器、JSON-RPC服務器等功能。[2021/10/22 20:49:22]

0x358483BAB9A813e3aB840ed8e0a167E20f54E9FB

攻擊交易:

0xd78ff27f33576ff7ece3a58943f3e74caaa9321bcc3238e4cf014eca2e89ce3f

Kava正式成立SAFU基金,將通脹1000萬枚KAVA作為保障資金:Kava宣布其社區已通過Kava SAFU基金的通脹提案投票,將正式成立Kava SAFU基金(Secure Asset Fund for Users,用戶資產安全保護基金),對Kava上的部分基礎設施和跨鏈活動進行保險承保,為Kava用戶資產提供額外的保障。Kava治理在未來預計1個月內會將KAVA委托者的最低質押通脹率提高到95%,直至SAFU基金的資金池達到1000萬枚KAVA代幣,在此期間Staking獎勵將保持不變。

Kava是一個跨鏈DeFi平臺,提供主流數字貨幣的抵押借貸。HARD Protocol是基于Kava區塊鏈發布的跨鏈加密貨幣市場,支持BTC、XRP、BNB、BUSD、KAVA和USDX等資產借貸和挖礦賺取收益。[2021/5/13 21:57:00]

0x4dda5f3338457dfb6648e8b959e70ca1513e434299eebfebeb9dc862db3722f3

CFTC前主席:Telegram的禁令可能是SAFT框架的“喪鐘”:美國商品期貨交易委員會(CFTC)前主席Gary Gensler表示,周二聯邦法院對Telegram的判決(禁止向投資者交付GRAM)可能是SAFT(未來代幣簡單協議)的“喪鐘”。聯邦法院的裁決意味著SAFT框架并不能保證代幣免受證券法的約束,具體代幣仍需通過豪伊測試。(Decrypt)[2020/3/27]

0x1360315a16aec1c7403d369bd139f0fd55a99578d117cb5637b234a0a0ee5c14

以下分析基于以下兩筆交易:

攻擊者首先使用PolyDex的WMATIC和WETH池進行PLX借貸,如下圖所示:

接下來,攻擊者通過攻擊合約反復進行抵押提取,主要是為了減少SdoRewardPool合約中SDO抵押池中的抵押代幣數量。

PLX代幣合約進行代幣轉移時,如果from地址不在_isExcludedFromFee列表中,并且to地址也不在_isExcludedToFee列表中,會對轉移的代幣收取一次獎勵基金以及銷毀本次轉移代幣數量的0.05%。

而在SdoRewardPool合約中,記錄的數量為調用者所轉移的數量,沒有減去轉移過程中損耗的部分,在進行提取操作時,提取的數量為記錄的數量,超出了用戶實際抵押到本合約的數量,故會造成該抵押池中抵押代幣的異常減少。

攻擊者事先通過攻擊合約

(0x358483BAB9A813e3aB840ed8e0a167E20f54E9FB)在該抵押池中抵押214.235502909238707603 PLX,在攻擊合約

(0xC44e71deBf89D414a262edadc44797eBA093c6B0)攻擊完成后,控制攻擊合約

(0x358483BAB9A813e3aB840ed8e0a167E20f54E9FB)在該抵押池中進行獎勵領取,由于SdoRewardPool合約中更新抵押池信息時使用的是balanceOf函數獲取本合約中抵押代幣數量,故獲取到的數量是惡意減少之后的數量,繼而造成PLX抵押池中accSdoPerShare變量異常增大,從而獲取到巨額的SDO代幣獎勵。

最后利用獲取到的SDO代幣將SDO-USDC和SDO-USDT兩種兌換池中USDC和USDT全部兌換出來。

三、事件復盤

事實上,此次攻擊事件并不復雜,但是值得引起注意。首先添加抵押池時添加了非標準代幣,再加上計算獎勵時使用了balanceOf函數進行抵押代幣數量的獲取,所以導致了此次攻擊事件的發生。

從安全審計的角度看,項目方作為添加抵押池的管理員,對于將要添加的抵押池中的抵押貸幣,一定要三思而后行。通脹通縮類以及轉移數量與實際到賬數量不同的代幣,不建議作為抵押池的抵押代幣;如果因業務需要一定要添加這些類型的代幣作為獎勵代幣,務必與其他標準代幣分開處理。同時在抵押池中建議使用一個單獨的變量作為抵押數量的記錄,然后計算獎勵時,使用通過此變量來獲取抵押代幣數量,而不是使用balanceOf函數。

另外,此次攻擊事件對于Polygon生態鏈上項目而言,是否會是一個“危險信號”,Polygon生態的“潘多拉魔盒”是否會就此打開,這還需要觀望后續態勢發展。不過,回望5月,BSC生態發生第一起閃電貸攻擊之后,便就此拉開了“BSC黑色五月”序幕。鑒于前車之鑒,成都鏈安在此提醒,Polygon生態鏈上項目未雨綢繆,切實提高安全意識!

Tags:SAFESDOUSDAVASafeMars ProtocolMARSDOGE幣USDJ幣AVAL幣

比特幣交易
玩DeFi害怕被 「Rug Pull」?如何保護個人資金?_DEF:EFI

一文了解 Defi 協議可能發生的「Rug Pull」和銀行擠兌風險! 前提: “如果您不了解已投資或打算投資的加密項目的利弊,您可能會因市場操縱、智能合約錯誤或任何黑天鵝事件而感到意外.

1900/1/1 0:00:00
HashKey 專訪黑鳯李:解讀 NFT 的金融創新及未來圖景_NFT:EFI

雖然 NFT 最先在加密藝術領域爆發,但其在金融領域也有很大的發展空間。采訪與撰文:Scarlett, HashKey Capital 研究員 受訪者:黑鳯李,DEGO China 創始人本次專.

1900/1/1 0:00:00
晚間必讀5篇 | 礦工收入為何能4天漲50%?_比特幣:區塊鏈幣圈幣種知識大全

1.從DeFi到游戲:最熱門的幾個去中心化應用程序本文精選最受歡迎的dapp?。點擊閱讀2.比特幣難度暴跌 但礦工收入為何能4天漲50%?數據顯示,在網絡出現有史以來最大難度下調之后,比特幣礦工.

1900/1/1 0:00:00
同質化代幣和非同質化代幣、ERC-20 ERC-721和ERC-1155的區別_NFT:區塊鏈

區塊鏈技術的潛力遠不止像加密貨幣這樣的數字資產,用戶和公司可以將數據(如其個人 ID,證書,公司財產數據,注冊數據,房地產數據以及其他有關現實世界資產的信息)放置在區塊鏈網絡上.

1900/1/1 0:00:00
分析Swarm的風險與創新 礦工入場仍需謹慎考慮_ARM:Swarm

在2017年發布的以太坊史前介紹中,Vitalik就認為以太坊、Swarm、Whisper將共同構成Web 3.0的去中心化技術套件.

1900/1/1 0:00:00
金色觀察丨Chainlink vs. MakerDAO:到底誰有理?_Maker:makerdao代幣

金色財經 區塊鏈7月4日訊   Chainlink和MakerDAO是目前去中心化金融協議預言機市場里的兩個主要競爭對手,但最近.

1900/1/1 0:00:00
ads