加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

New Free DAO攻擊事件分析:閃電貸無成本套利125萬美元-ODAILY_NEW:SCIFI Index

Author:

Time:1900/1/1 0:00:00

2022年9月8日,CertiKSkynet天網監測到NewFreeDAO(NFD)項目遭遇了閃電貸攻擊。

漏洞在NFD項目部署的一個未經驗證的獎勵合約中,攻擊者利用閃電貸借入NFD代幣,并將其發送到攻擊合約。隨后攻擊合約則調用未經驗證的獎勵合約,向攻擊者發送更多的NFD代幣。

攻擊者在3次攻擊中重復這個過程,獲取了4481個WBNB,價值約125萬美元。

由于攻擊者大量拋售NFD代幣,該代幣的價格已經暴跌超過99%。

攻擊步驟

比特幣礦企Hut 8將與US Bitcoin Corp合并為新公司New Hut:6月17日消息,比特幣礦企 Hut 8 將與美國礦企和高性能計算基礎設施提供商 US Bitcoin Corp(USBTC)以全股票平等合并的方式進行合并,合并后的公司將命名為 Hut 8 Corp.(New Hut),并將成為一個在美國注冊的實體。此次交易預計將使 New Hut 成為一家大規模的上市比特幣礦企,專注于經濟挖礦,高度多元化的收入來源。

New Hut 已向美國證券交易委員會(SEC)提交了對其 S-4 表格注冊聲明的進一步修訂。該聲明披露,New Hut 在艾伯塔省的 Medicine Hat 和 Drumheller 的挖礦設施的預挖礦算力已從之前披露的 7.02 EH/s 增加到 7.5 EH/s。[2023/6/17 21:43:27]

①攻擊者部署了一個惡意合約。在同一筆交易中,它調用了以下函數,將自己添加為合約成員。

NewB代幣突破200美元關口\t漲幅為29.37%:根據官方消息,NewB代幣從昨天的168.46美元,突破200美元關口,現報217.93美元,漲幅達到29.37%。[2021/7/3 0:25:12]

②攻擊者執行了三次閃電貸攻擊,借助第一筆閃電貸款,借入250個WBNB,并將其交易為6,313,508個NFD代幣。

③這些代幣被發送到一些未經驗證的合約中。

④這調用了0xe2f9d09c,輸入NFD代幣地址0x0000000000000000000038c63a5d3f206314107a7a9fe8cbba29d629d4f9。

Newdex即將上線BSC鏈:據官方消息,去中心化交易所Newdex在官方舉辦的520Newdex白皮書2.0全球線上發布會中表示,今年第三季度將在BSC鏈正式上線新版Newdex。

Newdex定位為多鏈DEX交易入口,平臺幣NDX將更名為DEX,意在表達“將去中心化交易進行到底”的決心及“為去中心化交易而生”的理念;總量從100億縮減到1億。與此同時,將推出DAO的治理,提升代幣的經濟價值。[2021/5/20 22:26:55]

⑤這觸發了NFD項目部署的另一個未經驗證的獎勵合約0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e.0x6811e3b9()。

Newland 將于18:00支持Mdex—HBTC/USDT 流動性挖礦:據官方消息,Newland將于今日北京時間18:00支持Mdex—HBTC/USDT流動性挖礦。用戶在Newland平臺存入指定交易對做LP即可獲得性獎勵。 目前,Newland已上線Mdex的HPT/USDT、HT/HPT聚合挖礦功能與LAVA的HPT/USDT聚合挖礦功能。

Newland方透露,近期會加快引入更多的單幣、LP挖礦聚合挖礦,全力打造HPT挖礦金鏟子。[2021/3/26 19:20:42]

之后,未驗證的合約實際上從獎勵合約中收到了額外的525,283個NFD代幣——總計6,838,792個NFD代幣,這些代幣被發回給了攻擊合約。

⑥在上述交易中,NFD合約錯誤地釋放了額外的525,283NFD。因此當攻擊者完成攻擊時,獲取了總計343,323,371個NFD代幣,在償還了最初的250WBNB貸款后,獲利4481WBNB,總價值約125萬美元。

⑦最后攻擊者通過兩筆交易,將2,000WBNB換為556,556.72USDT。目前攻擊者錢包仍持有2,481WBNB。

漏洞分析

本次攻擊事件的漏洞位于NFD項目部署的一個未經驗證的獎勵合約。由于NFD合約的源代碼在BSCScan上未被驗證,因此還無法確定攻擊者用來利用合約的確切機制。

資金去向

攻擊者總共獲得了4481個WBNB,并將其中的2000個換成了55.7萬枚USDT,剩下的WBNB仍然在攻擊者的賬戶中。

將2000WBNB交易為USDT的兩筆交易:

https://bscscan.com/tx/0x8c035fc9c3d944b3dd4a0ea721c119240cb624e79b7625a16173ad6682410599

https://bscscan.com/tx/0xda4b4de6ecacfe9b8b60167a2010630aeec103ab51920eb2e1b94ba1fef6c95b

相關地址

攻擊者賬戶:

https://bscscan.com/address/0x22c9736d4fc73a8fa0eb436d2ce919f5849d6fd2

攻擊合約:

https://bscscan.com/address/0xa35ef9fa2f5e0527cb9fbb6f9d3a24cfed948863

未經驗證的獎勵合約:

https://bscscan.com/address/0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e

WBNB-USDT對:

https://bscscan.com/address/0x16b9a82891338f9ba80e2d6970fdda79d1eb0dae

USDT-NFD對:

https://bscscan.com/address/0x26c0623847637095655b2868c3182b2285bdaeaf

寫在最后

攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會持續于官方公眾號發布與項目預警相關的信息。

CertiK的端到端安全解決方案,從智能合約審計和KYC項目背景調查服務,到Skynet天網動態掃描系統和SkyTrace等區塊鏈分析工具,以及漏洞賞金計劃,助力每一個項目充分發揮潛力的同時為Web3.0打造用戶和投資者高參與的生態系統。

Tags:NEWNFDBNBDEXNEWB幣INFD幣togetherbnb下載電腦SCIFI Index

比特幣行情
Daoswap攻擊事件分析:卡Bug給自己「開工資」-ODAILY_DAO:CER

北京時間2022年9月5日,CertiK審計團隊監測到Daoswap由于挖礦獎勵大于交換過程中收取的費用以及缺乏驗證,允許用戶將邀請者地址設置為自己,在一次攻擊中損失了58萬USDT.

1900/1/1 0:00:00
Weekly Brief | DeSci 賽道遠景與生態概覽-ODAILY_TWEE:ESCROW幣

DeSci賽道遠景與生態概覽Gitcoin最近一輪捐贈中,一些相對較新的概念受到關注,DeSci正是其中之一.

1900/1/1 0:00:00
Messari發布TRON第三季度調研報告:網絡活躍度達到全新水平,TVL環比增長61%-ODAILY_MES:GAM

據最新消息,頂級加密數據研究機構Messari于日前發布了波場TRON第三季度調研報告。報告指出,在5月推出USDD后,波場網絡的活躍度達到了全新水平,質押規模也急劇增加,TVL在第三季度環比增.

1900/1/1 0:00:00
德克薩斯大學奧斯汀分校成為2022波場黑客松大賽第三季合作伙伴-ODAILY_加密貨幣:DIG

據官方消息,德克薩斯大學奧斯汀分校已成為2022波場黑客松大賽第三季合作伙伴。與此同時,來自德克薩斯大學奧斯汀分校的教授SriramVishwanath將擔任本季評委.

1900/1/1 0:00:00
OKX將聯合波場TRON上線TRX和BTT賺幣特別活動,年化收益率最高可達65.35%-ODAILY_okx:INC

據最新消息,OKX聯合波場TRON將于2022年9月2日11:00(HKT)正式上線TRX和BTT賺幣特別活動,年化收益率最高可達65.35%,用戶可以一鍵質押,享受多重高息福利.

1900/1/1 0:00:00
波場TRON月報(2022.11.01-2022.11.30)-ODAILY_USD:RON

波場TRON月報新鮮出爐,一起來看看11月波場TRON都有哪些亮眼表現吧。 一、核心數據 1、新增賬戶數:6,732,7832、TVL最高值:$12,324,796,738波場TRON去中心化穩.

1900/1/1 0:00:00
ads