2022年9月8日,CertiKSkynet天網監測到NewFreeDAO(NFD)項目遭遇了閃電貸攻擊。
漏洞在NFD項目部署的一個未經驗證的獎勵合約中,攻擊者利用閃電貸借入NFD代幣,并將其發送到攻擊合約。隨后攻擊合約則調用未經驗證的獎勵合約,向攻擊者發送更多的NFD代幣。
攻擊者在3次攻擊中重復這個過程,獲取了4481個WBNB,價值約125萬美元。
由于攻擊者大量拋售NFD代幣,該代幣的價格已經暴跌超過99%。
攻擊步驟
①攻擊者部署了一個惡意合約。在同一筆交易中,它調用了以下函數,將自己添加為合約成員。
數據:StarkNet橋接TVL突破20萬枚ETH:金色財經報道,據 Dune Analytics 最新數據顯示,以太坊 Layer 2 擴容解決方案 StarkNet 橋接存儲總價值 TVL 已突破 20 萬枚 ETH,本文撰寫時達到 201,318 ETH,按照當前價格計算約合 3.7 億美元。[2023/8/11 16:19:58]
②攻擊者執行了三次閃電貸攻擊,借助第一筆閃電貸款,借入250個WBNB,并將其交易為6,313,508個NFD代幣。
③這些代幣被發送到一些未經驗證的合約中。
④這調用了0xe2f9d09c,輸入NFD代幣地址0x0000000000000000000038c63a5d3f206314107a7a9fe8cbba29d629d4f9。
9月14日流入交易所的ETH創近半年來單日新高:金色財經報道,Nansen數據顯示,9月14日流入交易所的ETH數量達993251枚,創近半年來單日新高,目前交易所的ETH余額約2533萬枚。[2022/9/15 6:57:20]
⑤這觸發了NFD項目部署的另一個未經驗證的獎勵合約0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e.0x6811e3b9()。
之后,未驗證的合約實際上從獎勵合約中收到了額外的525,283個NFD代幣——總計6,838,792個NFD代幣,這些代幣被發回給了攻擊合約。
⑥在上述交易中,NFD合約錯誤地釋放了額外的525,283NFD。因此當攻擊者完成攻擊時,獲取了總計343,323,371個NFD代幣,在償還了最初的250WBNB貸款后,獲利4481WBNB,總價值約125萬美元。
V神:以太坊不需要為Layer 1使用單一的ZK-EVM實現進行標準化:金色財經報道,以太坊創始人Vitalik Buterin發文解釋了“不同類型的ZK-EVM和類似ZK-EVM的項目,以及它們之間的權衡”。V神例舉了描述了多個EVM等價的不同“類型”的分類,以及嘗試實現每種類型的好處和成本。
V神總結稱,就我個人而言,我希望隨著時間的推移,通過ZK-EVM的改進和以太坊本身的改進相結合,使其對ZK-SNARK更加友好,一切都將成為Type1。在這樣的未來,我們將有多個ZK-EVM實現,它們既可以用于ZK匯總,也可以用于驗證以太坊鏈本身。
從理論上講,以太坊不需要為Layer1使用單一的ZK-EVM實現進行標準化;不同的客戶可以使用不同的證明,因此我們繼續從代碼冗余中受益。但是,要實現這樣的未來,還需要相當長的時間。與此同時,我們將在擴展以太坊和基于以太坊的ZK-rollup的不同路徑中看到許多創新。[2022/8/4 12:02:16]
⑦最后攻擊者通過兩筆交易,將2,000WBNB換為556,556.72USDT。目前攻擊者錢包仍持有2,481WBNB。
BTC損失地址數達到歷史新高:金色財經報道,據Glassnode數據顯示,BTC損失地址數剛剛達到歷史新高,7日均值數額為18,959,514.625。[2022/7/5 1:50:54]
漏洞分析
本次攻擊事件的漏洞位于NFD項目部署的一個未經驗證的獎勵合約。由于NFD合約的源代碼在BSCScan上未被驗證,因此還無法確定攻擊者用來利用合約的確切機制。
資金去向
攻擊者總共獲得了4481個WBNB,并將其中的2000個換成了55.7萬枚USDT,剩下的WBNB仍然在攻擊者的賬戶中。
將2000WBNB交易為USDT的兩筆交易:
https://bscscan.com/tx/0x8c035fc9c3d944b3dd4a0ea721c119240cb624e79b7625a16173ad6682410599?
https://bscscan.com/tx/0xda4b4de6ecacfe9b8b60167a2010630aeec103ab51920eb2e1b94ba1fef6c95b?
相關地址
攻擊者賬戶:
https://bscscan.com/address/0x22c9736d4fc73a8fa0eb436d2ce919f5849d6fd2?
攻擊合約:
https://bscscan.com/address/0xa35ef9fa2f5e0527cb9fbb6f9d3a24cfed948863?
未經驗證的獎勵合約:
https://bscscan.com/address/0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e?
WBNB-USDT對:
https://bscscan.com/address/0x16b9a82891338f9ba80e2d6970fdda79d1eb0dae?
USDT-NFD對:
https://bscscan.com/address/0x26c0623847637095655b2868c3182b2285bdaeaf?
寫在最后
攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會持續于官方公眾號發布與項目預警相關的信息。
CertiK的端到端安全解決方案,從智能合約審計和KYC項目背景調查服務,到Skynet天網動態掃描系統和SkyTrace等區塊鏈分析工具,以及漏洞賞金計劃,助力每一個項目充分發揮潛力的同時為Web3.0打造用戶和投資者高參與的生態系統。
來源:金色財經
中本聰認為比特幣是一個自我實現(self-enforcement)的預言。以此類推,如果NFT能夠和比特幣一樣實現信念和選擇的同調,我們也有理由認為NFT的價值可以在遠期的納什均衡中被持續加固.
1900/1/1 0:00:00Web3.0世界本年度發生了共計377次黑客攻擊,到目前為止因漏洞風險及騙局所造成的資產損失已達到了約2,338,681,983美元.
1900/1/1 0:00:00中心思想:短線多止盈落袋,震蕩越久大行情越近,靜待行情突破!? 操作上, 以太坊圍繞1510-1650,超短線1530-1600連續震蕩數日,從非農前.
1900/1/1 0:00:00NFT期權是什么?有哪些協議在布局?該怎么用? 作者:RongbuDAO原文:《NFT衍生品報告:零基礎讀懂NFT期權協議》從BendDAO到Sudoswap.
1900/1/1 0:00:00結論: 垂直NFT交易市場正在興起,蠶食Opensea的份額游戲NFT交易市場有望成為首批成功的垂直化平臺之一目前游戲NFT交易市場已經形成游戲NFT交易市場將在生態系統中占據更關鍵的位置過去一.
1900/1/1 0:00:00加密貨幣交易所巨頭幣安已確認目前沒有將Tether“自動轉換”為幣安美元的計劃,但指出這“可能會改變”.
1900/1/1 0:00:00