加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > Luna > Info

SafeDollar 歸零 Polygon生態的“潘多拉魔盒”已打開?_SAFE:poloniex官網

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間6月28日,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,Polygon生態算法穩定幣項目SafeDollar遭到黑客攻擊。攻擊事件發生后,SafeDollar項目所發行的穩定幣價格從1.07美元,瞬間跌至歸零。

有消息指出,一份未經證實的合約抽走了25萬美元的USDC和USDT;后經Rugdoc.io分析證實,此次攻擊事件中黑客總共獲利價值25萬美元的USDC和USDT。隨后,SafeDollar項目方發布公告,要求投資者停止所有與SDO相關的交易。目前,SDO交易已暫時中止。

鑒于此次攻擊事件所具備的標志意義,成都鏈安·安全團隊第一時間介入分析。繼5月初BSC諸多鏈上項目頻頻被黑之后,6月末Polygon生態也開始被黑客盯上,“潘多拉魔盒”是否已經悄然開啟?借此事件,成都鏈安通過梳理攻擊流程和攻擊手法,提醒Polygon生態項目加強安全預警和防范工作。

智能錢包提供商Safe與Monerium合作進行歐元鏈上和鏈下支付:金色財經報道,智能錢包提供商Safe與穩定幣發行商Monerium合作進行歐元鏈上和鏈下支付,合作承諾將600億美元的數字資產與歐洲銀行系統整合,Monerium受監管的穩定幣EURe將可與Safe的智能web3賬戶一起使用,使開發人員能夠通過 Safe{Core} 的工具包將web3錢包鏈接到歐元銀行賬戶,

EURe 是一種與以太坊、Polygon 和 Gnosis 網絡兼容的ERC20代幣,被認為是現金的數字替代品,它是一對一支持的,并且可以按需贖回。[2023/7/18 11:00:47]

二、事件分析

多簽錢包GnosisSafe啟動“Safe守護者計劃”:5月3日消息,多簽錢包GnosisSafe啟動“Safe守護者計劃”(SafeGuardiansProgramvol.1),并將分配5000萬枚SAFE代幣(占總供應量的5%)獎勵給Safe守護者,其中2.5%可立即申領,另外2.5%將在4年內釋放。

守護者指任何已為Safe生態系統做出積極貢獻的社區活躍成員,目前已開啟Safe守護者申請提交程序。此前消息,GnosisSafe關于成立SafeDAO的提案獲得通過,計劃將空投SAFE代幣。[2022/5/3 2:47:36]

此次攻擊事件中,攻擊者利用PLX代幣轉賬時實際到賬數量小于發送數量以及SdoRewardPool合約抵押和計算獎勵上存在的邏輯缺陷,借助“閃電貸”控制SdoRewardPool合約中抵押池的抵押代幣數量,進而操縱獎勵計算,從而獲得巨額的SDO獎勵代幣,最后使用SDO代幣將SDO-USDC和SDO-USDT兩種兌換池中USDC和USDT全部兌換出來。

多簽錢包Gnosis Safe啟動Safe守護者計劃,為生態貢獻者發放Token:5月3日消息,多簽錢包Gnosis Safe官方宣布,已推出Safe守護者計劃,并將分配50,000,000枚SAFE Token(占供應量的5%)獎勵給予Safe貢獻者。守護者指任何已為Safe生態系統做出積極貢獻的社區活躍成員。目前已開啟Safe守護者申請提交程序。[2022/5/3 2:46:09]

攻擊者地址:

0xFeDC2487Ed4BB740A268c565daCdD39C17Be7eBd

攻擊合約:

0xC44e71deBf89D414a262edadc44797eBA093c6B0

0x358483BAB9A813e3aB840ed8e0a167E20f54E9FB

Cover Protocol:未遷移的SAFE或SAFE2將會1:1兌換為新COVER代幣:12月31日,DeFi保險協議Cover Protocol官方發推表示,如果用戶還沒有遷移其SAFE或SAFE2代幣,請暫時不要遷移。如果現在遷移,用戶將不會得到新的COVER代幣。官方提醒稱,未認領的SAFE和未遷移的SAFE2代幣將按1:1兌換新的COVER代幣。

此前12月28日,Cover Protocol遭遇攻擊。隨后Cover Protocol發布賠償計劃,將向流動性提供者分發共4441枚ETH。其中,所有未遷移的SAFE2和SAFE代幣持有者有資格獲得新的COVER代幣賠償。[2020/12/31 16:09:11]

攻擊交易:

0xd78ff27f33576ff7ece3a58943f3e74caaa9321bcc3238e4cf014eca2e89ce3f

加密貨幣經紀商Safello計劃在2021年上半年在納斯達克上市:瑞典金融技術初創企業Safello宣布,計劃在2021年上半年在納斯達克上市。據悉,Safello是一個線上加密貨幣經紀商,是在瑞典金融服務管理局合規注冊的金融機構。Safello提供加密貨幣買賣服務,曾在2015年和英國巴克萊銀行合作。[2020/12/20 15:52:21]

0x4dda5f3338457dfb6648e8b959e70ca1513e434299eebfebeb9dc862db3722f3

0x1360315a16aec1c7403d369bd139f0fd55a99578d117cb5637b234a0a0ee5c14

以下分析基于以下兩筆交易:

0xd78ff27f33576ff7ece3a58943f3e74caaa9321bcc3238e4cf014eca2e89ce3f

0x1360315a16aec1c7403d369bd139f0fd55a99578d117cb5637b234a0a0ee5c14

攻擊者首先使用PolyDex的WMATIC和WETH池進行PLX借貸,如下圖所示:

接下來,攻擊者通過攻擊合約反復進行抵押提取,主要是為了減少SdoRewardPool合約中SDO抵押池中的抵押代幣數量。

PLX代幣合約進行代幣轉移時,如果from地址不在_isExcludedFromFee列表中,并且to地址也不在_isExcludedToFee列表中,會對轉移的代幣收取一次獎勵基金以及銷毀本次轉移代幣數量的0.05%。

而在SdoRewardPool合約中,記錄的數量為調用者所轉移的數量,沒有減去轉移過程中損耗的部分,在進行提取操作時,提取的數量為記錄的數量,超出了用戶實際抵押到本合約的數量,故會造成該抵押池中抵押代幣的異常減少。

攻擊者事先通過攻擊合約

在該抵押池中抵押214.235502909238707603PLX,在攻擊合約

攻擊完成后,控制攻擊合約

在該抵押池中進行獎勵領取,由于SdoRewardPool合約中更新抵押池信息時使用的是balanceOf函數獲取本合約中抵押代幣數量,故獲取到的數量是惡意減少之后的數量,繼而造成PLX抵押池中accSdoPerShare變量異常增大,從而獲取到巨額的SDO代幣獎勵。

最后利用獲取到的SDO代幣將SDO-USDC和SDO-USDT兩種兌換池中USDC和USDT全部兌換出來。

三、事件復盤

事實上,此次攻擊事件并不復雜,但是值得引起注意。首先添加抵押池時添加了非標準代幣,再加上計算獎勵時使用了balanceOf函數進行抵押代幣數量的獲取,所以導致了此次攻擊事件的發生。

從安全審計的角度看,項目方作為添加抵押池的管理員,對于將要添加的抵押池中的抵押貸幣,一定要三思而后行。通脹通縮類以及轉移數量與實際到賬數量不同的代幣,不建議作為抵押池的抵押代幣;如果因業務需要一定要添加這些類型的代幣作為獎勵代幣,務必與其他標準代幣分開處理。同時在抵押池中建議使用一個單獨的變量作為抵押數量的記錄,然后計算獎勵時,使用通過此變量來獲取抵押代幣數量,而不是使用balanceOf函數。

另外,此次攻擊事件對于Polygon生態鏈上項目而言,是否會是一個“危險信號”,Polygon生態的“潘多拉魔盒”是否會就此打開,這還需要觀望后續態勢發展。不過,回望5月,BSC生態發生第一起閃電貸攻擊之后,便就此拉開了“BSC黑色五月”序幕。鑒于前車之鑒,成都鏈安在此提醒,Polygon生態鏈上項目未雨綢繆,切實提高安全意識!

Tags:SAFESDOUSDPOLSAFECITYSDOGEusdt幣怎么兌換人民幣歐意poloniex官網

Luna
如何在Decentraland的元宇宙創建第一個虛擬身份?_區塊鏈:元宇宙概念是什么意思Facebook

HI~小伙伴們! 大家最近經常聽到“元宇宙”這個詞,不少小伙伴對這個概念感到很陌生,試圖理解它又覺得有點玄幻.

1900/1/1 0:00:00
證券時報:監管持續加碼 虛擬貨幣炒作可休矣_區塊鏈:比特幣是穩定幣嗎知乎

近期,針對虛擬貨幣炒作的監管措施密集出臺且持續加碼。梳理相關政策脈絡可以發現,監管層對虛擬貨幣交易的鏈條有著全面的了解,對其危害有深刻的認知,打擊的態度也非常明確.

1900/1/1 0:00:00
7.5早行情:行情實現三連陽 日內有望破前高_加密貨幣:okex交易所蘋果版

據歐易OKEx的數據顯示,當前BTC/USDT現貨報價為34889美元,24小時漲幅為1.27%.

1900/1/1 0:00:00
關于Rollup 你應該知道的基礎知識_ROL:FIN

原文標題:《CryptoYCInsight|Rollup學習筆記》原文來源:HengYouzhe,CryptoYCLabsLayer2是解決?案的統稱.

1900/1/1 0:00:00
金色沙龍第65期線上版:NFT- 數字藝術如何兌現市場價值?_NFT:DEF

由金色財經主辦金色的沙龍第65期線上版:“NFT-數字藝術如何兌現市場價值?”?即將于7月2日14:00在金色財經直播平臺&微信V65直播間內舉辦.

1900/1/1 0:00:00
我勸我媽不要炒幣_COI:BEA

黃立成回應接盤Mando和OSF:不用謝我:金色財經報道,麻吉大哥黃立成@machibigbrother在社交媒體發文稱:“不需要不斷感謝我為了去中心化OSF和Mando的猴子而承擔的費用成本.

1900/1/1 0:00:00
ads