前言
北京時間2022年4月30日,知道創宇區塊鏈安全實驗室監測到BSC鏈上的bDollar項目遭到價格操縱攻擊,導致損失約73萬美元。
知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。
基礎信息
攻擊者地址:0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e
攻擊合約:0x6877f0d7815b0389396454c58b2118acd0abb79a
穆迪下調SVB金融集團評級,將撤銷其評級:金色財經報道,穆迪下調了硅谷銀行金融集團及其銀行子公司硅谷銀行的評級,并表示將出于商業原因撤銷其評級。硅谷銀行的長期本幣銀行存款和發行人評級分別從A1和Baa1下調至Caa2和C,將硅谷銀行金融集團的本幣高級無擔保和長期發行人評級從Baa1下調至C。[2023/3/11 12:55:43]
tx:0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4
CommunityFund合約:0xEca7fC4c554086198dEEbCaff6C90D368dC327e0
Coinbase允許公司為客戶定制區塊鏈錢包:金色財經報道,Coinbase 正在開展錢包即服務業務,允許公司為自己的客戶定制區塊鏈錢包。Coinbase 產品負責人 Patrick McGregor 表示,我們認為這是我們開發者戰略的核心支持技術和收入來源。[2023/3/8 12:50:11]
漏洞分析
漏洞關鍵在于CommunityFund合約中的claimAndReinvestFromPancakePool方法在使用Cake代幣進行代幣轉換時,會對換取的WBNB數量進行判斷并且會自動把換取的WBNB的一半換為BDO代幣;而之后合約會自動使用合約中的WBNB為池子添加流動性,若此時BDO代幣的價值被惡意抬高,這將導致項目方使用更多的WBNB來為池子添加流動性。
Unstoppable與新銀行平臺hi合作推出 .hi域名:12月30日消息,Unstoppable與新銀行平臺hi合作推出 .hi域名,hi的銀級用戶將能夠申請一張定制的NFT借記萬事達卡,展示他們的.hi域名和個人NFT圖片,該卡可以讓他們在全球超過9000萬家商戶使用加密貨幣和法定貨幣支付。[2022/12/30 22:15:40]
而最為關鍵的是,攻擊者實施攻擊前,在WBNB/BDO、Cake/BDO、BUSD/BDO池子中換取了大量BDO代幣導致BDO價格被抬高。
星展銀行:如果民主黨失去對國會的控制,美元將失去優勢:11月7日消息,星展銀行經濟學家對美元的下行風險保持警惕。如果民主黨失去對國會一或兩個議院的控制,周二的美國中期選舉可能會打擊美元。共和黨人將推動削減社會保障和醫療保險支出,以換取提高或暫停債務上限。盡管美國經濟在第三季度擺脫了技術性衰退,但在2023年,它應該會在限制性貨幣政策的支撐下萎靡不振,財政支出的支持會減少。在這種背景下,美元被視為在實際有效匯率基礎上是昂貴的,而不僅僅是針對即期匯率。預計美元指數及其成分貨幣將與對應的各國央行斗爭,要么緊縮力度過小而無法控制通脹,要么過度緊縮而增加衰退風險。[2022/11/7 12:29:09]
在我們對攻擊交易進行多次分析之后,發現事情并沒有那么簡單,該次攻擊極有可能是被搶跑機器人搶跑交易了,依據如下:
1、該筆攻擊交易比BSC鏈上普通交易Gas費高很多,BSC鏈上普通交易默認Gas費為5Gwei,而該筆交易竟高達2000Gwei。
2、我們發現該攻擊合約與攻擊者地址存在多筆搶跑交;
3、我們在相同區塊內找尋到了真實攻擊者的地址與交易,該交易被回滾了。
攻擊流程
1、攻擊者使用閃電貸貸款670枚WBNB;
2、之后攻擊者將WBNB在各個池子中換取大量BDO代幣;
3、隨后攻擊者再次使用閃電貸貸款30516枚Cake代幣;
4、將貸款的Cake代幣進行swap,換取400WBNB,其中200枚被協議自動換取為BDO代幣;
5、攻擊者將WBNB換取Cake代幣用于歸還閃電貸;
6、最后,攻擊者將升值后的3,228,234枚BDO代幣換取3020枚WBNB,還款閃電貸671枚,成功套利2381枚WBNB價值約73萬美元。
總結
本次攻擊事件核心是合約會為流動性池自動補充流動性,而未考慮代幣價格是否失衡的情況,從而導致項目方可能在價格高位對流動性進行補充,出現高價接盤的情況。
建議項目方在編寫項目時多加注意函數的邏輯實現,對可能遇到的多種攻擊情況進行考慮。
在此提醒項目方發布項目后一定要將私鑰嚴密保管,謹防網絡釣魚,另外,近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
May.2022,VincyDataSource:FootprintAnalytics-MeebitsDataAnalysisMeebits由LarvaLabs于2021年5月推出.
1900/1/1 0:00:00盡管當下加密市場正在經歷史上最嚴酷的“寒冬”,但仍能看到市場也釋放了一些積極信號,比如:加密資產在全球采用率的持續增長、加密平臺逆勢擴張等.
1900/1/1 0:00:002022年6月23日20:00,EOS網絡基金會最新一期非正式柚談欄目開播,本期活動圍繞備受生態關注的Yield+藍皮書及其EOS流動性激勵計劃展開.
1900/1/1 0:00:00美國證券交易委員會周三拒絕了GrayscaleInvestments將其灰度比特幣信托(GBTC)轉換為ETF的申請,這是Grayscale自去年4月以來一直在公開推動的一項努力.
1900/1/1 0:00:00加密錢包是Web3的銀行賬戶。協議、交易所、DAO和其他地方的所有活動最終都必須在一天結束后找到安全停止的地方,并且使用錢包基礎設施提供的加密貨幣.
1900/1/1 0:00:00據區塊鏈瀏覽器TRONSCAN數據,截至6月10日,波場TRON賬戶總數達到97,069,472,正式突破9700萬.
1900/1/1 0:00:00