2022年9月8日,CertiKSkynet天網監測到NewFreeDAO(NFD)項目遭遇了閃電貸攻擊。
漏洞在NFD項目部署的一個未經驗證的獎勵合約中,攻擊者利用閃電貸借入NFD代幣,并將其發送到攻擊合約。隨后攻擊合約則調用未經驗證的獎勵合約,向攻擊者發送更多的NFD代幣。
攻擊者在3次攻擊中重復這個過程,獲取了4481個WBNB,價值約125萬美元。
由于攻擊者大量拋售NFD代幣,該代幣的價格已經暴跌超過99%。
攻擊步驟
加密數據公司CryptoSlam和加密媒體Forkast.News合并成立Web3媒體公司Forkast Labs:1月17日消息,加密數據提供商 CryptoSlam 和加密新聞網站 Forkast.News 宣布合并成為 Forkast Labs,新公司將成為專注于 Web3 的媒體公司。前彭博社主播兼 Forkast.News 創始人 Angie Lau 和 CryptoSlam 創始人 Randy Wasinger 將擔任 Forkast Labs 的聯合首席執行官。Forkast.News 的聯合創始人 Sarah Chang 將擔任合并后實體的首席運營官。
據報道,Animoca Brands 為兩家公司的投資人,此次合并由 Animoca Brands 創始人 Yat Siu 推動策劃,目前合并交易細節暫未披露。[2023/1/17 11:16:39]
①攻擊者部署了一個惡意合約。在同一筆交易中,它調用了以下函數,將自己添加為合約成員。
火幣礦池正式發布去中心化借貸協議Newland:據火幣礦池官方消息,火幣礦池已正式發布Newland。Newland是基于Heco鏈發行的、專門為礦工提供借貸流動性的去中心化協議,以賦能挖礦為使命,致力于構建DeFi世界更多幣種融通的資金市場。用戶可以將HT、HPT、USDT、HUSD、HBTC、ETH等資產存入該智能合約獲得借貸的利息收益,也可以抵押存入的資產借出不同的資產用于挖礦;按照存款和借款的份額,用戶可以分別獲得HPT收益。
Newland是HPT Finance系列產品中的首款產品。HPT Finance系列產品作為HPT進軍Defi領域的重要動作,將為Defi礦工提供更多元的去中心化協議和服務,如挖礦聚合器等,不斷擴大HPT的使用場景,提升HPT長期價值。據透露,所有系列產品(包括Newland)的收入都將用于回購銷毀HPT。[2021/2/11 19:31:47]
動態 | 牛頓主網NewChain安全運行一周年:據官方消息,牛頓主網NewChain已安全運行365天,鏈上交易突破489萬筆,區塊高度超過1051萬。NewChain是由牛頓開發的高性能主鏈,TPS達到5000以上,滿足商業應用要求。基礎設施經過一年的安全運行,日益完善。在NewChain之上,已接入鏈商零售NewMall、萬企商城和賽創園等應用。[2019/12/18]
②攻擊者執行了三次閃電貸攻擊,借助第一筆閃電貸款,借入250個WBNB,并將其交易為6,313,508個NFD代幣。
③這些代幣被發送到一些未經驗證的合約中。
④這調用了0xe2f9d09c,輸入NFD代幣地址0x0000000000000000000038c63a5d3f206314107a7a9fe8cbba29d629d4f9。
動態 | 在線汽車零部件零售商Newparts將接受加密貨幣支付:據bitcoin消息,在線汽車零部件商店Newparts周一表示,將開始接受包括比特幣核心(bitcoin core)和比特幣現金(bitcoin cash)在內的七種加密貨幣的支付。這家擁有100多萬個零部件目錄的美國經銷商表示,加密貨幣將使其能夠擴大國際影響力。[2018/10/9]
⑤這觸發了NFD項目部署的另一個未經驗證的獎勵合約0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e.0x6811e3b9()。
之后,未驗證的合約實際上從獎勵合約中收到了額外的525,283個NFD代幣——總計6,838,792個NFD代幣,這些代幣被發回給了攻擊合約。
⑥在上述交易中,NFD合約錯誤地釋放了額外的525,283NFD。因此當攻擊者完成攻擊時,獲取了總計343,323,371個NFD代幣,在償還了最初的250WBNB貸款后,獲利4481WBNB,總價值約125萬美元。
⑦最后攻擊者通過兩筆交易,將2,000WBNB換為556,556.72USDT。目前攻擊者錢包仍持有2,481WBNB。
漏洞分析
本次攻擊事件的漏洞位于NFD項目部署的一個未經驗證的獎勵合約。由于NFD合約的源代碼在BSCScan上未被驗證,因此還無法確定攻擊者用來利用合約的確切機制。
資金去向
攻擊者總共獲得了4481個WBNB,并將其中的2000個換成了55.7萬枚USDT,剩下的WBNB仍然在攻擊者的賬戶中。
將2000WBNB交易為USDT的兩筆交易:
https://bscscan.com/tx/0x8c035fc9c3d944b3dd4a0ea721c119240cb624e79b7625a16173ad6682410599
https://bscscan.com/tx/0xda4b4de6ecacfe9b8b60167a2010630aeec103ab51920eb2e1b94ba1fef6c95b
相關地址
攻擊者賬戶:
https://bscscan.com/address/0x22c9736d4fc73a8fa0eb436d2ce919f5849d6fd2
攻擊合約:
https://bscscan.com/address/0xa35ef9fa2f5e0527cb9fbb6f9d3a24cfed948863
未經驗證的獎勵合約:
https://bscscan.com/address/0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e
WBNB-USDT對:
https://bscscan.com/address/0x16b9a82891338f9ba80e2d6970fdda79d1eb0dae
USDT-NFD對:
https://bscscan.com/address/0x26c0623847637095655b2868c3182b2285bdaeaf
寫在最后
攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會持續于官方公眾號發布與項目預警相關的信息。
CertiK的端到端安全解決方案,從智能合約審計和KYC項目背景調查服務,到Skynet天網動態掃描系統和SkyTrace等區塊鏈分析工具,以及漏洞賞金計劃,助力每一個項目充分發揮潛力的同時為Web3.0打造用戶和投資者高參與的生態系統。
Tags:NEWNFDWBNBBNBNew Paradigm Assets SolutionINFDwbnb和bnb區別DBNB價格
“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.
1900/1/1 0:00:00BitfinexAlpha|隨著比特幣的波動,FTX的危機變得更加異乎尋常通貨膨脹的粘性是金融市場緊張情緒的根源。盡管上周PPI數據略為正面,但人們普遍認為,現在結束持續通脹還為時過早.
1900/1/1 0:00:00上周關于體育界和Crypto的新聞較少,因為和Crypto有關的比賽都正在賽場上進行。其中棒球比賽即將結束,NBA和NFL賽季即將開始,NHL季后賽也即將到來.
1900/1/1 0:00:00主持人:BlairZhu,MintVentures品牌總監嘉賓:Splinter,HeadofDevelopmentofBendDAO采訪時間:2022年11月1日采訪英文原地址:WEB3Fou.
1900/1/1 0:00:00最新數據顯示,截至1月5日,JustLendDAO市場規模已超33億美元。其中,存款總量超29億美元,借款總量超3億美元,挖礦獎勵超6400萬美元.
1900/1/1 0:00:00跨鏈橋成為了黑客猛烈攻擊的主要目標據Elliptic統計,2022年黑客在跨鏈橋上盜取的資金已超過10億美元.
1900/1/1 0:00:00