慢雾：DOD 合约中的 BUSD 代币被非预期取出，因 DOD 低价情况下与合约中锁定的 BUSD 将产生套利空间

链捕手消息，2022年3月10日,BSC链上的DOD项目中锁定的BUSD代币被非预期的取出，慢雾安全团队进行分析如下：

1.DOD项目使用了一种特定的锁仓机制，当DOD合约中BUSD数量大于99,999,000或DOD销毁数量超过99,999,000,000,000或DOD总供应量低于1,000,000,000时将触发DOD合约解锁，若不满足以上条件，DOD合约也将在五年后自动解锁。DOD合约解锁后的情况下，用户向DOD合约中转入指定数量的DOD代币后将获取该数量1/10的BUSD代币，即转入的DOD代币数量越多获得的BUSD也越多。

慢雾：7月3日至7月7日期间?Web3生态因安全问题损失近1.3亿美元:7月10日消息，慢雾发推称，自7月3日至7月7日，Web3生态因安全问题遭遇攻击损失128,419,000美元，包括Encryption AI、AzukiDao、NFT Trader、MIKE&SID、Bryan Pellegrino、Aptos Foundation、Multichain、CivFund。其中，Multichain被攻击损失1.26亿美元。[2023/7/10 10:12:36]

2.但由于DOD代币价格较低，恶意用户使用了2.8个BNB即兑换出99,990,000个DOD。

慢雾：GenomesDAO被黑简析:据慢雾区hacktivist消息，MATIC上@GenomesDAO项目遭受黑客攻击，导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队进行分析有以下原因：

1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制，攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。

2.随后攻击者通过stake函数进行虚假LP代币的抵押操作，以获得大量的LPSTAKING抵押凭证。

3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币，随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。

4.最后将LP发送至DEX中移除流动性获利。

本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。[2022/8/7 12:07:06]

3.随后从各个池子中闪电贷借出大量的BUSD转入DOD合约中，以满足合约中BUSD数量大于99,999,000的解锁条件。

慢雾：警惕ETH新型假充值，已发现在野ETH假充值攻击:经慢雾安全团队监测，已发现存在ETH假充值对交易所攻击的在野利用，慢雾安全团队决定公开修复方案，请交易所或钱包及时排查ETH入账逻辑，必要时联系慢雾安全团队进行检测，防止资金丢失。建议如没有把握成功修复可先临时暂停来自合约地址的充值请求。再进行如下修复操作：1、针对合约ETH充值时，需要判断内联交易中是否有revert的交易，如果存在revert的交易，则拒绝入账。2、采用人工入账的方式处理合约入账，确认充值地址到账后才进行人工入账。同时需要注意，类以太坊的公链币种也可能存在类似的风险。[2020/5/23]

4.之后只需要调用DOD合约中的swap函数，将持有的DOD代币转入DOD合约中，既可取出1/10转入数量的BUSD代币。

5.因此DOD合约中的BUSD代币被非预期的取出。

本次DOD合约中的BUSD代币被非预期取出的主要原因在于项目方并未考虑到DOD低价情况下与合约中锁定的BUSD将产生套利空间。慢雾安全团队建议在进行经济模型设计时应充分考虑各方面因素带来的影响。

标签：DODBUSDUSDSTAKDODbaseBUSD币AUSDT价格ASTAKE

中币下载热门资讯