比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > BNB價格 > Info

SDO:SafeDollar攻擊事件分析_SAFE

Author:

Time:1900/1/1 0:00:00

一、事件概覽北京時間6月28日,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,Polygon生態算法穩定幣項目SafeDollar遭到黑客攻擊。攻擊事件發生后,SafeDollar項目所發行的穩定幣價格從1.07美元,瞬間跌至歸零。有消息指出,一份未經證實的合約抽走了25萬美元的USDC和USDT;后經Rugdoc.io分析證實,此次攻擊事件中黑客總共獲利價值25萬美元的USDC和USDT。隨后,SafeDollar項目方發布公告,要求投資者停止所有與SDO相關的交易。目前,SDO交易已暫時中止。鑒于此次攻擊事件所具備的標志意義,成都鏈安·安全團隊第一時間介入分析。繼5月初BSC諸多鏈上項目頻頻被黑之后,6月末Polygon生態也開始被黑客盯上,“潘多拉魔盒”是否已經悄然開啟?借此事件,成都鏈安通過梳理攻擊流程和攻擊手法,提醒Polygon生態項目加強安全預警和防范工作。

Safe上線zkSync Era,Safe將于八月從Protofire接管代碼并升級至1.4版本:7月20日消息,區塊鏈開發服務提供商Protofire發推稱,Safe已上線zkSync Era。Protofire稱,Safe由Protofire開發和維護,由Safe+SafeGuardian支持。Safe將于八月接管代碼,將代碼庫升級至1.4版本,Safe接管后,項目無需進行任何更改。從技術角度來看,zkSync Era Safe已全面投入使用,對智能合約的改動極小,目前正在測試各種邊緣情況在Testnet上運行。[2023/7/20 11:07:02]

Safe集成ERC-4337,增強帳戶抽象功能:7月13日消息,數字資產管理平臺 Safe(原 Gnosis Safe)集成ERC-4337,以增強帳戶抽象功能。賬戶抽象使錢包能夠作為智能合約工作,并運行一系列復雜的功能,例如多因素身份驗證、錢包社交恢復以及用戶使用任何代幣進行交易的靈活性。[2023/7/13 10:53:25]

二、事件分析此次攻擊事件中,攻擊者利用PLX代幣轉賬時實際到賬數量小于發送數量以及SdoRewardPool合約抵押和計算獎勵上存在的邏輯缺陷,借助“閃電貸”控制SdoRewardPool合約中抵押池的抵押代幣數量,進而操縱獎勵計算,從而獲得巨額的SDO獎勵代幣,最后使用SDO代幣將SDO-USDC和SDO-USDT兩種兌換池中USDC和USDT全部兌換出來。攻擊者地址:0xFeDC2487Ed4BB740A268c565daCdD39C17Be7eBd攻擊合約:0xC44e71deBf89D414a262edadc44797eBA093c6B00x358483BAB9A813e3aB840ed8e0a167E20f54E9FB攻擊交易:0xd78ff27f33576ff7ece3a58943f3e74caaa9321bcc3238e4cf014eca2e89ce3f0x4dda5f3338457dfb6648e8b959e70ca1513e434299eebfebeb9dc862db3722f30x1360315a16aec1c7403d369bd139f0fd55a99578d117cb5637b234a0a0ee5c14以下分析基于以下兩筆交易:0xd78ff27f33576ff7ece3a58943f3e74caaa9321bcc3238e4cf014eca2e89ce3f0x1360315a16aec1c7403d369bd139f0fd55a99578d117cb5637b234a0a0ee5c14攻擊者首先使用PolyDex的WMATIC和WETH池進行PLX借貸,如下圖所示:

Safle完成90萬美元種子輪融資 Draper Dragon Fund等參投:10月23日消息,多鏈身份錢包和區塊鏈基礎設施提供商Safle宣布完成90萬美元種子輪融資,Draper Dragon Fund、Woodstock Fund、JD Kanani和Sandeep Nailwal(Polygon/MATIC的創始人)和其他機構參投。目前,Safle正在尋求為項目增加戰略價值的私募融資,并推出Safle生態系統的多效用治理代幣SAFLE。(Cointelegraph)[2021/10/23 6:09:13]

DeFi風險分級協議Saffron V2版本上線以太坊主網,存款功能已上線:10月20日消息,DeFi風險分級協議Saffron V2版本上線以太坊主網,目前已開放存款功能,此外,挖礦獎勵將在10月24日之前暫停,屆時是否重新啟動挖礦獎勵將由治理投票決定。V2版本前端目前支持Metamask、CoinbaseWallet、Fortmatic和WalletConnect四種錢包。Saffron團隊表示,目前持有V1版本LP代幣的用戶依然可以在V1版本中解除質押。[2021/10/20 20:44:11]

接下來,攻擊者通過攻擊合約反復進行抵押提取,主要是為了減少SdoRewardPool合約中SDO抵押池中的抵押代幣數量。

SAFCOIN推出非洲首個由區塊鏈驅動的微就業平臺:非洲加密貨幣項目SAFCOIN已推出了非洲首個區塊鏈驅動的微就業平臺,旨在免費連接非洲各地的企業和零工經濟工作者,并使用SAFCOIN支付薪酬。(IOL)[2020/3/9]

PLX代幣合約進行代幣轉移時,如果from地址不在_isExcludedFromFee列表中,并且to地址也不在_isExcludedToFee列表中,會對轉移的代幣收取一次獎勵基金以及銷毀本次轉移代幣數量的0.05%。

而在SdoRewardPool合約中,記錄的數量為調用者所轉移的數量,沒有減去轉移過程中損耗的部分,在進行提取操作時,提取的數量為記錄的數量,超出了用戶實際抵押到本合約的數量,故會造成該抵押池中抵押代幣的異常減少。

攻擊者事先通過攻擊合約在該抵押池中抵押214.235502909238707603PLX,在攻擊合約攻擊完成后,控制攻擊合約在該抵押池中進行獎勵領取,由于SdoRewardPool合約中更新抵押池信息時使用的是balanceOf函數獲取本合約中抵押代幣數量,故獲取到的數量是惡意減少之后的數量,繼而造成PLX抵押池中accSdoPerShare變量異常增大,從而獲取到巨額的SDO代幣獎勵。最后利用獲取到的SDO代幣將SDO-USDC和SDO-USDT兩種兌換池中USDC和USDT全部兌換出來。

三、事件復盤事實上,此次攻擊事件并不復雜,但是值得引起注意。首先添加抵押池時添加了非標準代幣,再加上計算獎勵時使用了balanceOf函數進行抵押代幣數量的獲取,所以導致了此次攻擊事件的發生。從安全審計的角度看,項目方作為添加抵押池的管理員,對于將要添加的抵押池中的抵押貸幣,一定要三思而后行。通脹通縮類以及轉移數量與實際到賬數量不同的代幣,不建議作為抵押池的抵押代幣;如果因業務需要一定要添加這些類型的代幣作為獎勵代幣,務必與其他標準代幣分開處理。同時在抵押池中建議使用一個單獨的變量作為抵押數量的記錄,然后計算獎勵時,使用通過此變量來獲取抵押代幣數量,而不是使用balanceOf函數。另外,此次攻擊事件對于Polygon生態鏈上項目而言,是否會是一個“危險信號”,Polygon生態的“潘多拉魔盒”是否會就此打開,這還需要觀望后續態勢發展。不過,回望5月,BSC生態發生第一起閃電貸攻擊之后,便就此拉開了“BSC黑色五月”序幕。鑒于前車之鑒,成都鏈安在此提醒,Polygon生態鏈上項目未雨綢繆,切實提高安全意識。

Tags:SDOSAFEUSDGONBezosDogeSAFEDOG價格泰達幣usdt錢包DragonBite

BNB價格
ATS:重新思考并理解「數據即石油」:隱私計算如何保障數據主權?_MOON

《經紀學人》早在2017年就發表封面文章,稱「數據將取代石油」成為當今時代最有價值的資源。但直到今天,擁有「數據石油」主權的普通人依然無法從這寶貴的資源中獲得收益.

1900/1/1 0:00:00
以太坊:一文讀懂波卡內在架構的奧秘_Gosama

“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.

1900/1/1 0:00:00
SHI:壽司融資事件后的風險投資范式轉變_SUSHI

由DeFi之道社區開源編寫的《DeFi指南》已上線!在公眾號菜單欄點擊“DeFi社群”→“DeFi指南”立即獲取。風險投資的性質正在發生變化.

1900/1/1 0:00:00
以太坊:V神和Paradigm研究合伙人:以太坊2.0合并后將有力抵御重組攻擊_ROL

最近,人們討論了礦工采用假定被修改的以太坊客戶端的可能性,該客戶端允許他們接受賄賂,并在選定的區塊中對交易進行排列。。在這篇文章中,我們將解釋為什么這種攻擊模式在以太坊2.0合并后將更難執行.

1900/1/1 0:00:00
NFT:眾科技巨頭布局NFT,還有馬云的身影,區塊鏈“爆炸式出圈之路”正式開啟?_TAG

作者|Cion要說最近在加密世界最火爆的概念,NFT絕對是當仁不讓。上個月末,阿里巴巴與敦煌美術研究所聯合發布了兩款NFT非同質化Token,分別為敦煌飛天和九色鹿皮膚,全球限量發行共16000.

1900/1/1 0:00:00
比特幣:【Deribit期權市場播報】0629——大宗爆發_數字資產有哪些類型

收錄于話題#每日期權播報 播報數據由Greeks.live格致數據實驗室和Deribit官網提供.

1900/1/1 0:00:00
ads