创宇区块链：bDollar项目遭受攻击，价格如何能成为一把利器？-ODAILY

前言

北京时间2022年4月30日，知道创宇区块链安全实验室监测到BSC链上的bDollar项目遭到价格操纵攻击，导致损失约73万美元。

知道创宇区块链安全实验室第一时间跟踪本次事件并分析。

基础信息

攻击者地址：0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e

攻击合约：0x6877f0d7815b0389396454c58b2118acd0abb79a

数据：GBTC折价收窄至35.7%，创去年10月以来最低水平:3月9日消息，根据TradingView数据，截至美国东部时间上午10点30分，Grayscale Bitcoin Trust股价上涨4%，目前GBTC资产净值折价为35.7%，折价幅度收窄至去年10月以来的最低水平。 （The Blcok）[2023/3/9 12:50:31]

tx：0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4

CommunityFund合约：0xEca7fC4c554086198dEEbCaff6C90D368dC327e0

漏洞分析

漏洞关键在于CommunityFund合约中的claimAndReinvestFromPancakePool方法在使用Cake代币进行代币转换时，会对换取的WBNB数量进行判断并且会自动把换取的WBNB的一半换为BDO代币；而之后合约会自动使用合约中的WBNB为池子添加流动性，若此时BDO代币的价值被恶意抬高，这将导致项目方使用更多的WBNB来为池子添加流动性。

NFT项目Cool Cats将举行Town Hall会议并发布新合作伙伴关系计划:2月1日消息，据 Cool Cats 社交媒体披露，该 NFT 项目将于美国东部时间今日下午 3:00 据悉 Town Hall 会议讨论品牌未来，根据已发布的预告视频显示，Cool Cats 将会在本次会议上发布品牌未来计划，包括公布动画内容、收藏品、活动、漫画、游戏和品牌合作伙伴关系。[2023/2/1 11:40:02]

而最为关键的是，攻击者实施攻击前，在WBNB/BDO、Cake/BDO、BUSD/BDO池子中换取了大量BDO代币导致BDO价格被抬高。

Mango联合创始人：被盗资金返还计划很快将完成审核:10月20日消息，此前遭受黑客攻击的Mango Markets将很快开始返还追回的被盗资金。Mango Labs联合创始人Daffy Durairaj发推称，存款人资金返还计划正在审核中，明天早上应该就能完成。非常感谢为实现这一目标而不懈努力的所有Mango贡献者。

据此前报道，10月16日，Mango发推称，黑客已经按照约定将6700万美元的加密资产归还给DAO。UTC时间周一15:00，社区将在Mango Discord讨论如何处理这些资产。一些开发人员已经开始负责并研究一种算法来确定相关账户的退还金额；此次还研究一个单独的程序，以重新分配资金。Mango表示将进行多次DAO投票，以就确切的程序和金额达成一致。其中一些投票的时间将长达72小时。（CoinDesk）[2022/10/20 16:31:57]

非洲顶级高尔夫球手将在阳光巡回赛中争夺比特币奖金:金色财经报道，来自非洲和欧洲的顶级高尔夫球手将在2022赛季结束后获得丰厚的比特币奖金。在为期一年的赛季中，高尔夫球手将争夺 Sunshine Tour 整体排行榜的头把交椅，即荣誉勋章。获得 Luno 功绩勋章的高尔夫球手将获得价值 500,000 兰特的 BTC，在撰写本文时相当于 31,000 美元或 30,000 欧元。第二名和第三名的高尔夫球手将分别获得20万兰特和10万兰特的比特币，而Luno还将赞助每一位参加阳光之旅的职业高尔夫球手1000兰特的比特币，以鼓励他们探索交易所的移动应用程序。（cointelegraph）[2022/5/6 2:55:46]

在我们对攻击交易进行多次分析之后，发现事情并没有那么简单，该次攻击极有可能是被抢跑机器人抢跑交易了，依据如下：

1、该笔攻击交易比BSC链上普通交易Gas费高很多，BSC链上普通交易默认Gas费为5Gwei，而该笔交易竟高达2000Gwei。

2、我们发现该攻击合约与攻击者地址存在多笔抢跑交；

3、我们在相同区块内找寻到了真实攻击者的地址与交易，该交易被回滚了。

攻击流程

1、攻击者使用闪电贷贷款670枚WBNB；

2、之后攻击者将WBNB在各个池子中换取大量BDO代币；

3、随后攻击者再次使用闪电贷贷款30516枚Cake代币；

4、将贷款的Cake代币进行swap，换取400WBNB，其中200枚被协议自动换取为BDO代币；

5、攻击者将WBNB换取Cake代币用于归还闪电贷；

6、最后，攻击者将升值后的3,228,234枚BDO代币换取3020枚WBNB，还款闪电贷671枚，成功套利2381枚WBNB价值约73万美元。

总结

本次攻击事件核心是合约会为流动性池自动补充流动性，而未考虑代币价格是否失衡的情况，从而导致项目方可能在价格高位对流动性进行补充，出现高价接盘的情况。

建议项目方在编写项目时多加注意函数的逻辑实现，对可能遇到的多种攻击情况进行考虑。

在此提醒项目方发布项目后一定要将私钥严密保管，谨防网络钓鱼，另外，近期，各类合约漏洞安全事件频发，合约审计、风控措施、应急计划等都有必要切实落实。

标签：BDOWBNBBNBMANBDOT价格wbnb是局吗bnb币今日最新消息MANGA价格

ICP热门资讯