前言
北京時間2022年4月30日,知道創宇區塊鏈安全實驗室?監測到BSC鏈上的bDollar項目遭到價格操縱攻擊,導致損失約73萬美元。
知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。
基礎信息
攻擊者地址:0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e
攻擊合約:0x6877f0d7815b0389396454c58b2118acd0abb79a
美股三大指數集體收漲,標普500指數漲1.36%:金色財經報道,美股三大指數集體收漲,道指漲1.26%,納指漲1.28%,標普500指數漲1.36%。[2022/11/5 12:19:17]
tx:0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4
CommunityFund合約:0xEca7fC4c554086198dEEbCaff6C90D368dC327e0
前BitGo、Curv高管推出新的加密錢包安全公司Fordefi:11月5日消息,前BitGo、Curv高管Josh Schwartz推出新的加密錢包安全公司Fordefi,Fordefi提供了一個允許機構參與各種鏈的錢包平臺。
Fordefi表示,使用安全的多方計算 (MPC) 以一種更難以妥協的方式分配用戶的私鑰,它將允許用戶自動化他們與區塊鏈和智能合約的互動。Fordefi的25人團隊位于以色列和紐約,其中包括Michael Volfman和Dima Kogan。該公司聘請了斯坦福大學的加密貨幣教授Dan Boneh和前Curv首席執行官Itay Malinger作為顧問。(The Block)[2022/11/5 12:18:25]
漏洞分析
Game Space與Bybit將于6月30日聯合發售《Merge Bird》NFT盲盒:6月28日消息,Game Space與Bybit將于6月30日聯合發售3200個《Merge Bird》NFT盲盒。此外,用戶也可將《Merge Bird》NFT作為數字收藏品和PFP社交形象展示,并在OpenSea及Game Space內嵌市場上交易。[2022/6/28 1:35:25]
漏洞關鍵在于CommunityFund合約中的claimAndReinvestFromPancakePool方法在使用Cake代幣進行代幣轉換時,會對換取的WBNB數量進行判斷并且會自動把換取的WBNB的一半換為BDO代幣;而之后合約會自動使用合約中的WBNB為池子添加流動性,若此時BDO代幣的價值被惡意抬高,這將導致項目方使用更多的WBNB來為池子添加流動性。
而最為關鍵的是,攻擊者實施攻擊前,在WBNB/BDO、Cake/BDO、BUSD/BDO池子中換取了大量BDO代幣導致BDO價格被抬高。
在我們對攻擊交易進行多次分析之后,發現事情并沒有那么簡單,該次攻擊極有可能是被搶跑機器人搶跑交易了,依據如下:
1、該筆攻擊交易比BSC鏈上普通交易Gas費高很多,BSC鏈上普通交易默認Gas費為5Gwei,而該筆交易竟高達2000Gwei。
2、我們發現該攻擊合約與攻擊者地址存在多筆搶跑交;
3、我們在相同區塊內找尋到了真實攻擊者的地址與交易,該交易被回滾了。
攻擊流程
1、攻擊者使用閃電貸貸款670枚WBNB;
2、之后攻擊者將WBNB在各個池子中換取大量BDO代幣;
3、隨后攻擊者再次使用閃電貸貸款30516枚Cake代幣;
4、將貸款的Cake代幣進行swap,換取400WBNB,其中200枚被協議自動換取為BDO代幣;
5、攻擊者將WBNB換取Cake代幣用于歸還閃電貸;
6、最后,攻擊者將升值后的3,228,234枚BDO代幣換取3020枚WBNB,還款閃電貸671枚,成功套利2381枚WBNB價值約73萬美元。
總結
本次攻擊事件核心是合約會為流動性池自動補充流動性,而未考慮代幣價格是否失衡的情況,從而導致項目方可能在價格高位對流動性進行補充,出現高價接盤的情況。
建議項目方在編寫項目時多加注意函數的邏輯實現,對可能遇到的多種攻擊情況進行考慮。
在此提醒項目方發布項目后一定要將私鑰嚴密保管,謹防網絡釣魚,另外,近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
Tags:BDOWBNBBNBCAKEBDOGE價格wbnb和bnb區別和聯系bnb最新價格uPancake Games
親愛的用戶: 虎符幣幣區將于2022年05月17日18:00上線REINetwork(REI),并開放REI/USDT交易對.
1900/1/1 0:00:00在第一批2998個TigerNFTMint結束之后,TigerVCDAO完成了第一階段的社區、人才和資金的儲備工作。TigerVCDAO正式進入DAO的治理和去中心化VC的全新階段.
1900/1/1 0:00:00親愛的ZT用戶: ZT創新板即將上線</article><divclass="news_detail_footer-ozvx"><divclass="detail_top-ozvx"&.
1900/1/1 0:00:00尊敬的唯客用戶您好! 一鍵跟單關于在交易員列表找到已跟隨的交易員或進入”我的跟單”選擇”我的交易員”點擊”編輯”來對跟單進行再次編輯或取消跟隨交易員Asproex(阿波羅)將于10月27日18:.
1900/1/1 0:00:00金色財經報道,據公開文件顯示,美國眾議院道德委員會宣布調查議員MadisonCawthorn是否“不當推廣了一種他可能擁有未公開經濟利益的加密貨幣”,并與受雇于國會工作人員的個人存在不當關系.
1900/1/1 0:00:00尊敬的用戶: 為了感謝全球用戶一直以來的支持與鼓勵,BKEX決定將為新注冊用戶準備“迎新大禮包”活動.
1900/1/1 0:00:00