宇宙链 宇宙链
Ctrl+D收藏宇宙链

SafeDollar 归零 Polygon生态的“潘多拉魔盒”已打开?

作者:

时间:1900/1/1 0:00:00

一、事件概览

北京时间6月28日,链必安-区块链安全态势感知平台舆情监测显示,Polygon生态算法稳定币项目SafeDollar遭到黑客攻击。攻击事件发生后,SafeDollar项目所发行的稳定币价格从1.07美元,瞬间跌至归零。

有消息指出,一份未经证实的合约抽走了25万美元的USDC和USDT;后经Rugdoc.io分析证实,此次攻击事件中黑客总共获利价值25万美元的USDC和USDT。随后,SafeDollar项目方发布公告,要求投资者停止所有与SDO相关的交易。目前,SDO交易已暂时中止。

鉴于此次攻击事件所具备的标志意义,成都链安·安全团队第一时间介入分析。继5月初BSC诸多链上项目频频被黑之后,6月末Polygon生态也开始被黑客盯上,“潘多拉魔盒”是否已经悄然开启?借此事件,成都链安通过梳理攻击流程和攻击手法,提醒Polygon生态项目加强安全预警和防范工作。

Nym与ChainSafe合作为以太坊验证节点与客户端提供网络层隐私:金色财经报道,隐私基础设施Nym在ETHDenver2023上宣布与Web3基础设施公司Chain Safe合作,集成以太坊验证节点与客户端,为整个生态系统提供网络层隐私。Nym将通过libp2p模块使全球超过50万个以太坊验证节点通过Nym网络屏蔽交易,防止以太坊验证节点泄漏其IP地址和元数据,保护其免受DDoS攻击。目前,Nym与ChainSafe合作,正在为Lighthouse共识客户端编写第一个实施方案。[2023/3/6 12:44:52]

二、事件分析

此次攻击事件中,攻击者利用PLX代币转账时实际到账数量小于发送数量以及SdoRewardPool合约抵押和计算奖励上存在的逻辑缺陷,借助“闪电贷”控制SdoRewardPool合约中抵押池的抵押代币数量,进而操纵奖励计算,从而获得巨额的SDO奖励代币,最后使用SDO代币将SDO-USDC和SDO-USDT两种兑换池中USDC和USDT全部兑换出来。

加密支付公司BCB Group聘请Paysafe前首席银行官Noah Sharp为副执行总裁:7月21日消息,加密支付公司BCB Group已任命Noah Sharp为副执行总裁(Deputy CEO),以扩大其国际业务。在加入BCB Group之前,Noah Sharp曾在支付公司 Paysafe担任首席银行官。(Coindesk)[2022/7/21 2:28:44]

攻击者地址:

0xFeDC2487Ed4BB740A268c565daCdD39C17Be7eBd

攻击合约:

0xC44e71deBf89D414a262edadc44797eBA093c6B0

0x358483BAB9A813e3aB840ed8e0a167E20f54E9FB

攻击交易:

0xd78ff27f33576ff7ece3a58943f3e74caaa9321bcc3238e4cf014eca2e89ce3f

BHEX即将上线SAFEMOON、PIG交易:据官方公告,BHEX将于今日14:00(UTC+8)上线SAFEMOON(SafeMoon)、PIG(Pig Finance),并开通SAFEMOON/USDT、PIG/USDT交易对,充值现已开启。

SafeMoon协议是100%社区驱动的,基于公平推出的DeFi代币。每个交易过程中会发生三个简单的功能:反射,LP采集和刻录。并且RFI静态奖励,会让持有者自己的SafeMoon余额增过程中,进一步通过静态反射获得部分被动奖励。

PIG是Binance Smart Chain上的去中心化通缩通证。而且100%去中心化;自动收益率养殖,没有复杂的资产配对流动性和不固定损失的风险。PIG是一种高收益的无摩擦农业代币,是一个完全由社区管理的令牌,具有独特的奖励和通货紧缩机制,并具有流动性交易挖掘功能。

风险提示:以上币种价格可能剧烈波动,注意控制交易风险。[2021/5/12 21:52:46]

0x4dda5f3338457dfb6648e8b959e70ca1513e434299eebfebeb9dc862db3722f3

动态 | 南非SAFCOIN推出由区块链支持的自由职业就业市场:2月26日消息,南非加密货币项目SAFCOIN推出由区块链支持的自由职业就业市场,该就业市场将免费连接非洲各地的企业和零工。(Africa Business Communities )[2020/2/26]

0x1360315a16aec1c7403d369bd139f0fd55a99578d117cb5637b234a0a0ee5c14

以下分析基于以下两笔交易:

0xd78ff27f33576ff7ece3a58943f3e74caaa9321bcc3238e4cf014eca2e89ce3f

0x1360315a16aec1c7403d369bd139f0fd55a99578d117cb5637b234a0a0ee5c14

攻击者首先使用PolyDex的WMATIC和WETH池进行PLX借贷,如下图所示:

兰花实验室已筹集约3610万美元的SAFT销售:据coindesk消息,美国证券交易委员会(SEC)的文件显示,兰花实验室(Orchid Labs)正在筹集1.25亿美元的SAFT(简称未来令牌协议)销售,目前已有42名投资者参与,已筹集了约3610万美元。[2018/4/24]

接下来,攻击者通过攻击合约反复进行抵押提取,主要是为了减少SdoRewardPool合约中SDO抵押池中的抵押代币数量。

PLX代币合约进行代币转移时,如果from地址不在_isExcludedFromFee列表中,并且to地址也不在_isExcludedToFee列表中,会对转移的代币收取一次奖励基金以及销毁本次转移代币数量的0.05%。

而在SdoRewardPool合约中,记录的数量为调用者所转移的数量,没有减去转移过程中损耗的部分,在进行提取操作时,提取的数量为记录的数量,超出了用户实际抵押到本合约的数量,故会造成该抵押池中抵押代币的异常减少。

攻击者事先通过攻击合约

在该抵押池中抵押214.235502909238707603PLX,在攻击合约

攻击完成后,控制攻击合约

在该抵押池中进行奖励领取,由于SdoRewardPool合约中更新抵押池信息时使用的是balanceOf函数获取本合约中抵押代币数量,故获取到的数量是恶意减少之后的数量,继而造成PLX抵押池中accSdoPerShare变量异常增大,从而获取到巨额的SDO代币奖励。

最后利用获取到的SDO代币将SDO-USDC和SDO-USDT两种兑换池中USDC和USDT全部兑换出来。

三、事件复盘

事实上,此次攻击事件并不复杂,但是值得引起注意。首先添加抵押池时添加了非标准代币,再加上计算奖励时使用了balanceOf函数进行抵押代币数量的获取,所以导致了此次攻击事件的发生。

从安全审计的角度看,项目方作为添加抵押池的管理员,对于将要添加的抵押池中的抵押贷币,一定要三思而后行。通胀通缩类以及转移数量与实际到账数量不同的代币,不建议作为抵押池的抵押代币;如果因业务需要一定要添加这些类型的代币作为奖励代币,务必与其他标准代币分开处理。同时在抵押池中建议使用一个单独的变量作为抵押数量的记录,然后计算奖励时,使用通过此变量来获取抵押代币数量,而不是使用balanceOf函数。

另外,此次攻击事件对于Polygon生态链上项目而言,是否会是一个“危险信号”,Polygon生态的“潘多拉魔盒”是否会就此打开,这还需要观望后续态势发展。不过,回望5月,BSC生态发生第一起闪电贷攻击之后,便就此拉开了“BSC黑色五月”序幕。鉴于前车之鉴,成都链安在此提醒,Polygon生态链上项目未雨绸缪,切实提高安全意识!

标签:SDOSAFEUSDUSDTsdog币最新消息币赢Son Of Safemoonxusd币合约钱包BitVenus里的usdt能用

币赢交易所热门资讯
金色观察丨CEX入局 NFT热潮会持续升温吗?

金色财经区块链6月26日讯?2021年无疑是属于NFT的一年。就在如今较为低迷的数字货币市场环境中,非同质化代币NFT却在依旧疯狂生长。今年四月中旬,NFT代币总市值击穿300亿美元,创下了历史新高.

1900/1/1 0:00:00
7.5午间行情:冲高受阻后 趋势怎么走

文章系金色财经专栏作者牛七的区块链分析记供稿,发表言论仅代表其个人观点,仅供学习交流!金色盘面不会主动提供任何交易指导,亦不会收取任何费用指导交易,请读者仔细甄别,谨防上当.

1900/1/1 0:00:00
Ergo的潜力如何?为什么会得到这么多人认可

或许和笔者一样,您会意识到会破坏加密货币生态系统的快速破局方法对加密货币长期可持续发展是不利的。笔者对Ergo和Cardano的坚定信念来自于他们的代码实现方法:反复研究,一次实现.

1900/1/1 0:00:00
比特币挖矿委员会:比特币挖矿可持续电力在第二季度增至56%

金色财经报道,比特币挖矿委员会(BMC)今日公布了其首次季度调查的结果。在2021年第二季度,比特比挖矿可持续的挖矿电力增长至56%.

1900/1/1 0:00:00
COMP被低估?重新理解Compound的“护城河”

撰文:BenGiove,Bankless撰稿人传奇投资者、婴儿潮一代的沃伦·巴菲特(WarrenBuffet)有一句名言:“短期来看,市场是一台投票机,但长期来看,它是一台称重机。”巴菲特的这句话适用于任何市场,加密市场也不例外.

1900/1/1 0:00:00
ArkStream 2021年Q2加密投资季报(三)

加密货币基金ArkStreamCapital在2021年第二季度共投资了近二十个项目,我们将以项目简介、赛道分析出发,来阐述为什么投资这些项目的缘由.

1900/1/1 0:00:00