黑客四连击：Wiener DOGE, Last Kilometer, Medamon以及PIDAO项目被攻击事件分析

据CertiK安全团队监测，,WienerDOGE项目于北京时间2022年4月24日下午4时33分被恶意利用，造成了3万美元的损失。攻击者利用WDODGE的收费机制和交换池之间的不一致，发起了攻击。

事件发生的根本原因是：通过紧缩的代币合约造成发送方的LP对没有被排除在转账费用之外。因此，攻击者能够将LP对中的通货紧缩代币耗尽，进而导致货币对价格失衡。

而随后于同一天接连发生了另外三起恶意利用：

同天下午6时20分，LastKilometer项目被闪电贷攻击利用，造成了26495美元的损失；

同天晚上9时45分，Medamon项目被闪存贷攻击利用，造成3159美元的损失；

Allbridge公布攻击事件进展：若黑客归还被盗资产，将向其提供白帽赏金:4月3日消息，跨链桥Allbridge在推特上发布关于黑客攻击事件的进展：

1.我们对黑客事件的调查仍在继续，目前正在与合作伙伴和执法部门合作，以查明黑客的身份。此外，我们还宣布了一笔白帽赏金以换取被盗资产返还；

2.流动性供应已经重新开放，并将持续到本周末。在此期间，LP将能够从资金池中撤回其资产；

3.本周末，流动性池将关闭，我们将使用所有可用的工具来创建一个恢复池，以补偿那些受攻击影响的用户；

4.如果这些资金被黑客归还或被当局没收，它们将被存入同一个基金。

5.与此同时，我们正在为受黑客攻击影响的用户准备一份提交表格，以供这些用户分享有关损失的信息。

此前消息，4月2日，跨链桥Allbridge遭到黑客攻击，损失约57万美元（其中包括282,889 BUSD 和290,868 USDT）。

之后BNB Chain表示，通过链上分析已确定Allbridge攻击者，正在协助Allbridge团队进行资金回收。[2023/4/4 13:42:45]

紧接着，PI-DAO项目被闪存贷攻击利用，造成了6445美元的损失。

PeckShield：某黑客通过网络钓鱼盗取价值110万美元的加密货币:1月18日消息，PeckShield监测信息显示，某黑客通过网络钓鱼盗取价值110万美元的加密货币，并将盗取的资金集中在了四个地址（0x53d092开头、0x7415开头、0x84bf15开头、0x0E7c48开头）中。[2023/1/18 11:19:06]

这一系列攻击的攻击者与攻击方法，与同一天早些时候发生的WienerDOGE相同。

WienerDOGE攻击流程

攻击者通过闪电贷获得了2900枚BNB。

攻击者将2900枚BNB换成了6,638,066,501,83枚WDOGE

Trust EVM GameFi黑客松已启动，总奖池达15万美元:8月17日消息，Trust EVM GameFi 黑客松活动报名入口已在 DoraHacks 开启。本次活动由 Trust EVM 主办，项目提交时间为 8 月 15 日至 9 月 14 日，总奖池达 15 万美元。

为期四周的 Trust EVM GameFi Hackathon 旨在鼓励和支持 Gaming 项目建设，吸引全球开发人员在 Trust EVM 上构建 GameFi 项目。Trust EVM 将为所有参与者提供技术和社区资源。[2022/8/17 12:30:39]

WdogE:199,177,850,468

黑客从ATM偷12亿美元，靠加密货币捕获:29日消息，据国外媒体Futurism报道，2013年起一些黑客瞄上一些大银行，银行系统下载ATM机入侵软件。这种软件会指示ATM机大吐钞票，同伙把钱捡走并转入罪犯的账户中，这些钱最终被转入加密货币平台上。以这种方式，黑客盗取了超过10亿欧元（合12亿美元）的资金。欧洲刑警组织最近逮捕了四名盗窃分子，其中包括一名在西班牙被捕的“主谋”。该组织并未公布这些罪犯被拘捕的地方。[2018/3/29]

WBNB:2978

LP的状态：

将5,974,259,851,654枚WDOGE发送到LP，由于WDOGE比BNB多，所以LP现在处于不平衡状态。

WDOGE:5,178,624,112,169

WBNB:2978

LP的状态：

调用skim()函数，从LP中取回4,979,446,261,701枚WDOGE。由于攻击者在调用skim()之前发送了大量的WDOGE，所以LP将支付大量的费用。这一操作清空了LP内的WDOGE的数量。

攻击者还调用可sync()函数来更新LP内的储备值。若干枚WDOGE和2978枚BNB的存在，造成了WDOGE的价格与WBNB相比异常昂贵。

5.最后，攻击者用剩下的WDOGE换回了2978枚BNB，偿还了闪电贷，赚取了78枚BNB。

而其他几个项目被攻击的流程步骤也相似：

闪电贷取得WBNB，并用WBNB换取LP中的通缩代币；

直接将通缩的代币转移到LP对上；

调用skim()函数，迫使LP对输回通缩代币；

由于转让费的存在，攻击者会重复步骤2~3，将LP对中的通缩代币耗尽；

通过LP对中的价格不平衡来获取利润。

合约漏洞分析

当用户转移一定数量的WDOGE时，除了费用，还有4%的代币将被销毁。

因此，如果LP发送100枚WDOGE，其余额将减少104枚WDOGE。

所以，LP应该被排除在费用和代币销毁之外。

资产损失

审计的作用

CertiK审计专家认为：如果同时对代币和LP合约进行审计，这个漏洞就可能被发现。然而，如果只有代币合约被审计，那么交换机制将被视为一个外部依赖。而这种情况在审计过程中将会指出第三方依赖风险。具体为：如果是代币合约，CertiK审计专家将会与项目方讨论，确认是否需要除去LP对的手续费；如果是LP对方的合约，CertiK审计专家会提出通缩币的讨论，并且提醒项目方可能存在的风险。

作为区块链安全领域的领军者，CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止，CertiK已获得了3200家企业客户的认可，保护了超过3110亿美元的数字资产免受损失。

标签：DOGEDOGWDOWDOGMDOGEGALAXYDOGE价格WDO价格WDOG币

瑞波币热门资讯