遭受價格操控攻擊損失約73萬美元：bDollar被攻擊事件分析_BNB:BDO

2022年5月21日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示， bDollar項目遭受價格操控攻擊，攻擊者獲利2381WBNB（價值約73萬美元）。成都鏈安技術團隊第一時間對事件進行了分析，結果如下。

#1 項目相關信息

DappRadar：硅谷銀行倒閉導致NFT交易量遭受重創:3月17日消息，據DappRadar 3月16日的一份報告，在3月10日硅谷銀行倒閉之前，NFT交易量徘徊在6800萬美元至7400萬美元之間，然后在3月12日跌至3600萬美元。3月9日至3月11日期間，NFT單日銷售數量下降了27.9%。

根據DappRadar的數據，3月11日“活躍”的NFT交易員有11,440名，這是自2021年11月以來的最低記錄。盡管交易冷淡，但“藍籌”NFT的市場價值并未受到實質性影響，Bored Apes Yacht Club (BAYC)和CryptoPunks等收藏品的地板價僅略有下降。[2023/3/17 13:10:10]

由 Bearn.fi 提供的 bDollar 是幣安智能鏈上的第一個算法穩定幣，它可以確定性地調整其供應量，將代幣的價格向目標價格方向移動，從而為 DeFi 帶來可編程性和互操作性。

安全團隊：Journey of awakening項目遭受閃電貸攻擊，攻擊者獲取大量ATK代幣:金色財經報道，據Beosin EagleEye Web3安全預警與監控平臺監測顯示，Journey of awakening（ATK）項目遭受閃電貸攻擊。攻擊者通過閃電貸攻擊的方式攻擊了ATK項目的策略合約（0x96bF2E6CC029363B57Ffa5984b943f825D333614），從合約中獲取了大量的ATK代幣。

Beosin安全團隊分析發現攻擊者已把全部獲得的ATK代幣兌換為約12萬美元的BSC-USD，目前被盜資金已經在0xf2ade5950cdfb43b47fdb0a7bf87e9c84467981f地址被兌換成BNB并且全部轉移到龍卷風地址，Beosin安全團隊將使用Beosin Trace對被盜資金進行持續追蹤。[2022/10/12 10:32:20]

#2 事件相關信息

Silvergate CEO：加密貨幣短期會遭受更多痛苦，但仍看好比特幣借貸:金色財經報道，Silvergate首席執行官兼前 TradFi 銀行家 Alan Lane 表示，在接下來的幾個季度中，一些交易所和加密貨幣基金可能仍會經歷一些痛苦的領域，但在某個時候，所有這些都會完成。然而，鑒于數字資產隨著利率上升和通脹壓力等宏觀趨勢而下跌，全球經濟重新調整，投資者不應將當前的加密貨幣價格下滑與之前的價格下滑進行比較，我們仍然對比特幣的借貸感興趣，我們相信這是我們做過的最好的貸款之一，我們希望繼續發展。（coindesk）[2022/7/23 2:33:16]

攻擊交易

成都鏈安：GYM Network 項目的GymSinglePool遭受攻擊:6月8日消息，據成都鏈安安全輿情監控數據顯示，GYM Network 項目的GymSinglePool遭受了攻擊。因為_autoDeposit函數未轉入抵押的代幣，攻擊者惡意調用了depositFromOtherContract函數記賬，并憑空提取了GYM token，目前2000BNB已進了Tornado Cash，3000BNB存放在攻擊賬戶中，價值70W美元的ETH轉入了以太坊。[2022/6/8 4:10:43]

0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4

攻擊者地址

0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e

攻擊合約

0x6877f0d7815b0389396454c58b2118acd0abb79a

被攻擊合約

0xeaDa3d1CCBBb1c6B4C40a16D34F64cb0df0225Fd

1、通過閃電貸借出670WBNB。

2、 將其分成多份分別轉入到WBNB/BDO、BUSD/BDO等多個池子進行兌換，拉高BDO的價格。

3、攻擊者接著借出30,516 cake用于后續攻擊：調用DAO Fund合約中的claimAndReinvestFromPancakePool函數，該函數將cake兌換成400個wbnb，且觸發了200WBNB兌換BDO，然而最后會調用_addLiquidity，用合約中的WBNB去添加流動性。此時由于BDO價格很高，導致添加流動性時需要使用項目方合約中大量的WBNB，相當于項目方高位接盤。

4、最后攻擊者通過pancake兌換出WBNB，歸還閃電貸，獲利2381 WBNB。

本次攻擊主要利用了DAO fund代理合約CommunityFund中claimAndReinvestFromPancakePool函數在添加流動性時的設計漏洞，未充分考慮到價格被惡意拉高后，項目方會在添加流動性時，用自己合約內的資金被動高位接盤的情況。

截止發文時，被盜資金還未被攻擊者轉出，仍存在攻擊合約中：0x6877F0D7815b0389396454C58b2118ACD0aBB79A。

針對本次事件，成都鏈安技術團隊建議：

1、合約在設計時應充分考慮可能遇到的攻擊，盡量完善其安全設計；

2、項目上線前，建議選擇專業的安全審計公司進行全面的安全審計，規避安全風險。

Tags：BNBWBNBBDOSINbnb馬克會綠主角嗎owbnbbdot幣最新消息blockchainBusiness官網

USDT