Bogged Finance攻击事件分析

:"\u003Cp\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061404\u002F7abdur3rls79b9bi.png!webp\"data-img-size-val=\"726,443\"width=\"726\"\u002F\\\u003E\u003C\u002Fp\u003E\u003Cp\u003E据官方tg群消息，北京时间5月22日晚BoggedFinance项目遭遇闪电贷攻击，随后BOG代币价格断崖式下跌。\u003Cspan\u003E知道创宇区块链\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E安全\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E实验室\u003C\u002Fspan\u003E第一时间跟进分析本次安全事件。\u003C\u002Fp\u003E\u003Cp\u003E以造成本次闪电贷攻击的其中一笔交易为例，对应具体交易hash如下：0x47a355743456714d9abc23e1dff9e26430e38e84cc8b8e0a0b4ca475918f3475\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061603\u002Fpc2ufvljrg0zj92i.png!webp\"data-img-size-val=\"730,350\"width=\"730\"\u002F\\\u003E\u003C\u002Fp\u003E\u003Cp\u003E黑客地址0x4622A1f3d05DcF5A0589c458136C231009B6A207通过攻击合约0xe576790f35A8cC854d45b9079259Fe84F5294e07进行闪电贷攻击，通过调用攻击合约中攻击函数，传入参数15000000000000000000000，通过BankController合约进行闪电借贷15000BNB，通过WBNB合约兑换后开始进行套利攻击。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061642\u002Fpinqj3r6bt05y6c8.png!webp\"data-img-size-val=\"723,138\"width=\"723\"\u002F\\\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061651\u002Fuf14ov48xdn0zkmi.png!webp\"data-img-size-val=\"726,60\"width=\"726\"\u002F\\\u003E\u003C\u002Fp\u003E\u003Cp\u003E本次闪电贷攻击主要是由于BoggedFinance合约中_transferFrom函数中利用_txBurn函数出现逻辑漏洞，代币合约对所有交易应当收取5%的交易额作为交易费用来销毁，其中4%分红给lp提供者，1%被烧毁，但在_transferFrom函数中未校验转账地址，允许向自己转账，在自我转账的过程中，仅扣除1%手续费，而包括攻击者在内的lp提供者获得4%的分红奖励，所以攻击者可以通过添加大量流动性进行流动性挖矿，并且反复自我转账获利，最终移除流动性从而完成攻击过程。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061347\u002Fn8t5c64ug0gszwhw!webp\"data-img-size-val=\"726,179\"width=\"726\"\u002F\\\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061347\u002Fn4s20py53z0dbheb!webp\"data-img-size-val=\"720,437\"\u002F\\\u003E\u003C\u002Fp\u003E\u003Cp\u003E通过查看浏览器交易显示，攻击者在该笔交易中分4次将1298.20BNB、1489.05BNB、1707.95BNB、1959.03BNB在PancakeSwap中兑换为47770BOG，并用共计8434.07BNB和281174.22BOG在PancakeSwap的BNB-BOG池中添加流动性\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061347\u002F92h2yl8rguvwuamp!webp\"data-img-size-val=\"720,374\"\u002F\\\u003E\u003C\u002Fp\u003E\u003Cp\u003E如下图所示，攻击者在该笔交易中通过以下5笔交易将如下所示数量的WBNB与BOG添加流动性并将所获得的流动性代币进行抵押挖矿。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061347\u002Fbwhlgc1wa89l9ee1!webp\"data-img-size-val=\"720,166\"\u002F\\\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061347\u002Fqjjpv0qjkp8bh4gx!webp\"data-img-size-val=\"720,97\"\u002F\\\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061347\u002Ft8l7m56fqfsd6gd5!webp\"data-img-size-val=\"720,89\"\u002F\\\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061347\u002F84y9p3zstts8o462!webp\"data-img-size-val=\"720,84\"\u002F\\\u003E\u003C\u002Fp\u003E\u003Cpclass=\"img-desc\"\u003E图1添加流动性并进行你抵押挖矿为多次转账准备\u003C\u002Fp\u003E\u003Cp\u003E随后，攻击者通过攻击合约多次进行自我转账，进行获利。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061347\u002F2cnr2xfhpg55664d!webp\"data-img-size-val=\"720,165\"\u002F\\\u003E\u003C\u002Fp\u003E\u003Cpclass=\"img-desc\"\u003E图2反复自我转账\u003C\u002Fp\u003E\u003Cp\u003E最后，攻击者通过Nerve\u003Cspanclass=\"alert\"\u003E\u003Cspanclass=\"alertFont\"\u003E\u003Cspanclass=\"font\"\u003E跨链\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E桥将它们分批次转换为\u003Cspanclass=\"alert\"\u003E\u003Cspanclass=\"alertFont\"\u003E\u003Cspanclass=\"font\"\u003EETH\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E进行套现后移除流动性，返还闪电贷完成本次攻击。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061347\u002F9sh9bat72nzovqmu!webp\"data-img-size-val=\"720,345\"\u002F\\\u003E\u003C\u002Fp\u003E\u003Cpclass=\"img-desc\"\u003E图3移除流动性\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061347\u002Fjfulitpdgkkczt20!webp\"data-img-size-val=\"720,106\"\u002F\\\u003E\u003C\u002Fp\u003E\u003Cpclass=\"img-desc\"\u003E图4返还闪电贷\u003C\u002Fp\u003E\u003Cp\u003E在攻击发生后，项目社区内疑似管理员身份发布了相关通知，且现合约中已关停相关手续费收取功能，对应的_burnRate被设置为0，不存在套利空间。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061347\u002Fjdqx1e051fmstnkc!webp\"data-img-size-val=\"720,629\"\u002F\\\u003E\u003C\u002Fp\u003E\u003Cpclass=\"img-desc\"\u003E图5社群通知\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061347\u002Fx8i31p8zmknvqyfj!webp\"data-img-size-val=\"403,158\"\u002F\\\u003E\u003C\u002Fp\u003E\u003Cpclass=\"img-desc\"\u003E图6关闭手续费收取功能\u003C\u002Fp\u003E\u003Cp\u003E最近BSC链上接连发生闪电贷攻击事件，随着链上\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003EDeFi\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E生态的飞速发展，攻击事件频频爆发。高级复杂的闪电贷攻击手法，已经在以太坊生态中上演过很多次。可见，随着其他链上DeFi生态的发展，攻击者已逐渐将攻击目标扩大到其他链的DeFi生态，DeFi安全问题也越来越需要被重视。\u003C\u002Fp\u003E

链上证据表明FTX与2021年以2440万美元从苏富比购买101 Bored Apes相关联:12月22日消息，Twitter用户@jconorgrogan发推表示，链上证据表明 FTX 与 2021 年以 2440 万美元从苏富比购买 101 Bored Apes 相关联。Apes 存入 FTX US NFT Marketplace 地址 + 由 FTX 营销；FTX 上市的 Apes 以低于 Opensea floor 的价格出售以吸引用户；800万美元的 APE 发送到 Alameda。[2022/12/23 22:02:00]

NFT 游戏公司 Animoca Brands 收购了 Bondly 的多数股权:9月17日，NFT 游戏开发商 Animoca Brands 宣布对 NFT 平台 Bondly 进行大量投资。Animoca 将在投资后拥有 Bondly 的多数股权。作为投资的一部分，Bondly 的 NFT 技术，包括发射台和跨链桥，将被纳入 Animoca 的游戏产品中。

根据公告，Animoca 正在寻求利用 Bondly 的 NFT 技术解决方案套件，使游戏玩家能够在不同的区块链网络之间移动游戏内不可替代的代币资产Animoca 董事长兼联合创始人 Yat Siu 在评测其投资 Bondly 背后的理由时表示，“我们收购了 Bondly 的多数股权，因为它将极大地帮助我们通过 NFT 推动真正的数字所有权，我们认为这对游戏的未来和开放元宇宙的出现至关重要。”[2021/9/18 23:34:03]

Bitfinex Borrow添加Solana（SOL）作为抵押品:官方消息，Bitfinex Borrow添加Solana（SOL）作为抵押品，用户可以使用其SOL作为抵押品获得贷款。[2021/6/7 23:18:20]

声音 | 研究院Ivan Bogatyy更新文章：Mimblewimble协议的隐私性不是根本性缺陷:金色此前报道，Dragonfly Capital风险投资家Ivan Bogatyy发表了一份报告，提请注意MimbleWimble隐私模型中的安全漏洞。根据Bogatyy的说法，攻击会实时跟踪96%的发件人和收件人地址。

李启威对此回应称，MimbleWimble协议的这种限制是众所周知的。MW基本上属于隐密交易，具有扩展优势和一定程度的不可链接性。为了获得更好的隐私，用户仍然可以在广播之前使用CoinJoin，并且由于CT和聚合的原因，CJ与MW运行的也很好。与BTC / LTC相比，MW上的CJ更加简单易用。1. MW具有CT，因此所有数量都被隐藏，因此无需决定统一的输出大小。2. 使用MW中的聚合，无需签署最终的CJ交易。因此，不能通过不签名来拒绝服务。

截至目前，Ivan Bogatyy发出更正文章称，Mimblewimble协议的隐私性不是根本性缺陷。[2019/11/19]

公告 | EOStock Chrome 插件钱包现支持 BOS 主网:据 IMEOS 报道，由 ITAM Games 开发的 Chrome 浏览器插件钱包 EOStock(eostock.io) 现在已经支持 BOS 主网。[2019/1/28]

标签：PANSPAANCIMGPanda GirlMark.SpaceYVS.Financeimg币未来价值

DOGE热门资讯