宇宙链 宇宙链
Ctrl+D收藏宇宙链

创宇区块链|bDollar 项目遭受攻击 价格如何能成为一把利器

作者:

时间:1900/1/1 0:00:00

北京时间 2022 年 4 月 30 日,知道创宇区块链安全实验室 监测到 BSC 链上的 bDollar 项目遭到价格操纵攻击,导致损失约 73 万美元。

知道创宇区块链安全实验室 第一时间跟踪本次事件并分析。

攻击者地址:0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e

攻击合约:0x6877f0d7815b0389396454c58b2118acd0abb79a

有人以5261 ETH的价格在Blur平台一次性卖出87个CryptoPunks:金色财经报道,据“麻吉大哥”黄立成在社交媒体转发信息显示,有人以5261 ETH(约合9,575,000 美元)的价格在Blur平台一次性卖出87个CryptoPunks。对此,黄立成直言Blur出了问题并称协议正在消亡,同时呼吁Blur平台必须要修复这种漏洞。[2023/4/2 13:40:45]

tx:0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4

CommunityFund 合约:0xEca7fC4c554086198dEEbCaff6C90D368dC327e0

DeFi资管平台Yield App收购加密货币结构性产品供应商Trofi Group:1月27日消息,DeFi资管平台YieldApp已完成对加密货币结构性产品供应商Trofi Group的收购,已满足投资者对增强收益投资机会不断增长的需求,具体收购金额暂未公开披露。收购完成后,Yield App将推出一款投资专用测试版应用程序Trofi,并让用户通过四种不同策略访问Yield App首个加密结构产品。[2023/1/27 11:31:56]

漏洞关键在于 CommunityFund 合约中的 claimAndReinvestFromPancakePool 方法在使用 Cake 代币进行代币转换时,会对换取的 WBNB 数量进行判断并且会自动把换取的 WBNB 的一半换为 BDO 代币;而之后合约会自动使用合约中的 WBNB 为池子添加流动性,若此时 BDO 代币的价值被恶意抬高,这将导致项目方使用更多的 WBNB 来为池子添加流动性。

法院裁定ConsenSys AG股东对资产转让有投票表决的权利:12月21日消息,瑞士楚格州州法院的一名法官裁定允许ConsenSys AG股东对Metamask、Infura等资产转让给ConsenSys Software Inc的交易进行投票表决。一旦股东就此资产转让进行表决,便可以在法庭上对其提出质疑,这将使股东能够合法陈述ConsenSys最有价值的资产没有有效转让,实际上仍由ConsenSys AG拥有。

据悉,ConsenSys AG由Joseph Lubin于2014年创立,股权被授予大量员工以换取减少的工资。2020年执行的一项销售和出资协议将大量资产从ConsenSys AG转移到新创建的实体ConsenSys Software,但没有通知股东。ConsenSys Software随后完成总计7.15亿美元的三轮融资,报告的最终估值为70亿美元。

此前3月份消息,35名股东要求对公司进行审计并调查ConsenSys创始人Joseph Lubin的交易。ConsenSys前雇员Arthur Falls称,基础知识产权和子公司被非法从ConsenSys AG转移到新实体ConsenSys Software Inc并用于筹款。(PRNewswire)[2022/12/21 21:57:55]

StarkWare宣布与Only Dust达成合作:6月16日消息,零知识证明研发机构StarkWare宣布与Only Dust达成合作,Only Dust是允许开发人员为构建StarkNet生态做出贡献的市场。[2022/6/17 4:33:16]

而最为关键的是,攻击者实施攻击前,在 WBNB/BDO、Cake/BDO、BUSD/BDO 池子中换取了大量 BDO 代币导致 BDO 价格被抬高。

在我们对攻击交易进行多次分析之后,发现事情并没有那么简单,该次攻击极有可能是被抢跑机器人抢跑交易了,依据如下:

1、该笔攻击交易比 BSC 链上普通交易 Gas 费高很多,BSC 链上普通交易默认 Gas 费为 5Gwei,而该笔交易竟高达 2000Gwei。

2、我们发现该攻击合约与攻击者地址存在多笔抢跑交;

3、我们在相同区块内找寻到了真实攻击者的地址与交易,该交易被回滚了。

1、攻击者使用闪电贷贷款 670 枚 WBNB;

2、之后攻击者将 WBNB 在各个池子中换取大量 BDO 代币;

3、随后攻击者再次使用闪电贷贷款 30516 枚 Cake 代币;

4、将贷款的 Cake 代币进行 swap,换取 400WBNB,其中 200 枚被协议自动换取为 BDO 代币;

5、攻击者将 WBNB 换取 Cake 代币用于归还闪电贷;

6、最后,攻击者将升值后的 3,228,234 枚 BDO 代币换取 3020 枚WBNB,还款闪电贷 671 枚,成功套利 2381 枚 WBNB 价值约 73 万美元。

本次攻击事件核心是合约会为流动性池自动补充流动性,而未考虑代币价格是否失衡的情况,从而导致项目方可能在价格高位对流动性进行补充,出现高价接盘的情况。

建议项目方在编写项目时多加注意函数的逻辑实现,对可能遇到的多种攻击情况进行考虑。

在此提醒项目方发布项目后一定要将私钥严密保管,谨防网络钓鱼,另外,近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。

标签:ONSSENCONSYSMetan EvolutionsSENSEI币Concern Poverty Chainoasys币前景

酷币交易所热门资讯
金色趋势丨ETH关注这一短期支撑

金色晨讯 | 10月8日隔夜重要动态一览:21:00-7:00关键词:吉尔吉斯斯坦、Bitfinex、美国CBDC、谷歌云 1. 吉尔吉斯斯坦央行暂停SWIFT跨境交易防止资本外流.

1900/1/1 0:00:00
技术谈得越来越少 监管谈得越来越多 币圈走向成熟的重要阶段?

加密货币再也不是法外之地,至少从Libra开始,监管这一字眼与加密货币一起出现的频次,如火箭般蹿升。7月24日,美国财长Mnuchin公开表示,金融监管机构继续关注所有加密货币资产,并可能会出台更多法规以确保美国金融体系的安全.

1900/1/1 0:00:00
一文了解Rari Capital和Fei Protocol的合并提案

11月17日消息,DeFi协议Rari Capital联合创始人Jai Bhavnani以及Fei Protocol创始人Joey Santoro共同提出了一个合并RGT和Tribe代币的提案,而这一提案也引起了很大的争议.

1900/1/1 0:00:00
金色观察|从Loot推论如何在NFT领域做产品创新?

在NFT大概保持了半年热度之后,终于出现了一个刷屏级的项目Loot,也许因为Loot太过于奇特和魔幻。行业人士纷纷转到朋友圈或各种DIY。这代表的是一种创新可能性。也算是一些产品设计上的思维延伸以及项目团队对产品的试探.

1900/1/1 0:00:00
Defi:借贷创新之路

借贷是Defi乐高的核心基石模块之一,如何更好地满足借贷需求,提高用户的资金使用率和资产收益率,进而提升用户体验是长期以来不变的命题.

1900/1/1 0:00:00
听证会前瞻 | 法学教授:美国不需要加密货币 只需要升级系统

今天,美国参议院银行、住房和城市事务委员会将就数字货币和区块链的监管话题举办听证会。加州大学欧文分校法学院的法学教授Mehrsa Baradaran将在本次听证会上作证,目前,其证词已经公布.

1900/1/1 0:00:00