黑客四連擊：Wiener DOGE, Last Kilometer, Medamon以及PIDAO項目被攻擊事件分析_DOGE:DOG

據CertiK安全團隊監測，,WienerDOGE項目于北京時間2022年4月24日下午4時33分被惡意利用，造成了3萬美元的損失。攻擊者利用WDODGE的收費機制和交換池之間的不一致，發起了攻擊。

事件發生的根本原因是：通過緊縮的代幣合約造成發送方的LP對沒有被排除在轉賬費用之外。因此，攻擊者能夠將LP對中的通貨緊縮代幣耗盡，進而導致貨幣對價格失衡。

而隨后于同一天接連發生了另外三起惡意利用：

同天下午6時20分，LastKilometer項目被閃電貸攻擊利用，造成了26495美元的損失；

一用戶在黑客論壇上發布包含2.35億推特用戶數據文件:1月5日消息，據Securityaffair發文表示，一用戶在黑客論壇上發布包含2.35億推特用戶數據文件，許多專家立即對它進行了分析，并確認了大量泄露檔案中許多條目的真實性。該數據庫是去年12月發布的4億用戶泄露數據庫的清理版本。黑客可能會以加密貨幣賬號為重要目標，進行釣魚或相關的攻擊。

據悉，去年12月，推特數據泄露事件黑客曾向Twitter索要20萬美元，以歸還被盜數據，并警告說，如果不滿足要求，數據將免費發布。[2023/1/5 10:22:57]

同天晚上9時45分，Medamon項目被閃存貸攻擊利用，造成3159美元的損失；

CNBC主持人：黑客用加密騙局攻擊推特破壞了加密行業多年的信譽建設:7月16日，針對眾多名人推特被黑并發布數字貨幣釣魚騙局一事，CNBC主持人Ran Neuner發推稱，這些黑客用與加密相關的騙局侵入推特賬戶，真得是在破壞這個已經為信譽而戰的行業多年來的建設。[2020/7/16]

緊接著，PI-DAO項目被閃存貸攻擊利用，造成了6445美元的損失。

這一系列攻擊的攻擊者與攻擊方法，與同一天早些時候發生的WienerDOGE相同。

WienerDOGE攻擊流程

攻擊者通過閃電貸獲得了2900枚BNB。

動態 | 黑客劫持了瑞典執政黨的推特，并發布“宣揚比特幣”的推文:據CCN消息，瑞典Sveriges電視臺報道，瑞典人周一醒來后發現，該國最大政黨、社會民主黨的Twitter賬戶已被一名黑客控制，他利用這個短暫的機會發布了“關于比特幣的假新聞”。被劫持的Twitter賬號宣稱比特幣已經成為瑞典的國家貨幣，并稱:我們已經廢除了瑞典克朗，取而代之的是比特幣，是時候買了!”。Twitter帳戶的名稱也從“Socialdemokraterna”改為“比特幣民主黨人”。黑客更進了一步編輯了社會民主黨的黨派標志，換成比特幣標志。[2019/4/15]

攻擊者將2900枚BNB換成了6,638,066,501,83枚WDOGE

第四季度個人電腦被黑客劫持用于數字貨幣挖礦的案件增加了85倍:網絡安全巨頭Symantec近日發布的《2017網絡安全威脅報告》稱，2017年第四季度，個人電腦被黑客劫持用于數字貨幣挖礦的案件增加了85倍，占12月所有網絡攻擊的24%，占第四季度所有網路攻擊的16%，這與去年比特幣及其它數字貨幣的崛起有很大關聯。總體來看，加密劫持在2017年的發生數量上漲了34000%[2018/3/22]

WdogE:199,177,850,468

WBNB:2978

LP的狀態：

將5,974,259,851,654枚WDOGE發送到LP，由于WDOGE比BNB多，所以LP現在處于不平衡狀態。

WDOGE:5,178,624,112,169

WBNB:2978

LP的狀態：

調用skim()函數，從LP中取回4,979,446,261,701枚WDOGE。由于攻擊者在調用skim()之前發送了大量的WDOGE，所以LP將支付大量的費用。這一操作清空了LP內的WDOGE的數量。

攻擊者還調用可sync()函數來更新LP內的儲備值。若干枚WDOGE和2978枚BNB的存在，造成了WDOGE的價格與WBNB相比異常昂貴。

5.最后，攻擊者用剩下的WDOGE換回了2978枚BNB，償還了閃電貸，賺取了78枚BNB。

而其他幾個項目被攻擊的流程步驟也相似：

閃電貸取得WBNB，并用WBNB換取LP中的通縮代幣；

直接將通縮的代幣轉移到LP對上；

調用skim()函數，迫使LP對輸回通縮代幣；

由于轉讓費的存在，攻擊者會重復步驟2~3，將LP對中的通縮代幣耗盡；

通過LP對中的價格不平衡來獲取利潤。

合約漏洞分析

當用戶轉移一定數量的WDOGE時，除了費用，還有4%的代幣將被銷毀。

因此，如果LP發送100枚WDOGE，其余額將減少104枚WDOGE。

所以，LP應該被排除在費用和代幣銷毀之外。

資產損失

審計的作用

CertiK審計專家認為：如果同時對代幣和LP合約進行審計，這個漏洞就可能被發現。然而，如果只有代幣合約被審計，那么交換機制將被視為一個外部依賴。而這種情況在審計過程中將會指出第三方依賴風險。具體為：如果是代幣合約，CertiK審計專家將會與項目方討論，確認是否需要除去LP對的手續費；如果是LP對方的合約，CertiK審計專家會提出通縮幣的討論，并且提醒項目方可能存在的風險。

作為區塊鏈安全領域的領軍者，CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止，CertiK已獲得了3200家企業客戶的認可，保護了超過3110億美元的數字資產免受損失。

Tags：DOGEDOGWDOWDOGEDogen FinanceDOGECATwdo幣價格NEWDOGE

XRP