DOGE:黑客四連擊，近期項目被攻擊事件分析_WDOG價格

北京時間2022年4月24日下午4時33分，CertiK審計團隊監測到Wiener?DOGE項目被惡意利用，造成了3萬美元的損失。攻擊者利用WDODGE的收費機制和交換池之間的不一致，發起了攻擊。

事件發生的根本原因是：通過緊縮的代幣合約造成發送方的LP對沒有被排除在轉賬費用之外。因此，攻擊者能夠將LP對中的通貨緊縮代幣耗盡，進而導致貨幣對價格失衡。

而隨后于同一天內接連發生了另外三起惡意利用：

下午6時20分，LastKilometer項目被閃電貸攻擊利用，造成了26495美元的損失；

OpenSea黑客主流項目獲利超416萬美元:2月20日消息，據統計，目前黑客疑似通過網絡釣魚郵件竊取上百個 NFT，其中主流 NFT 項目和數量分別為：Azuki*37、BoredApeKennelClub*4、BoredApeYachtClub*3、CloneX*6 、Cool Cats*5、Doodles*11、mfer*9、NFT Worlds*25、MutantApeYachtClub*4，按相關項目地板價計算，總價值達 1543.07 ETH（約合 416.6 萬美元）。（區塊律動）[2022/2/20 10:03:57]

晚上9時45分，Medamon項目被閃存貸攻擊利用，造成3159美元的損失；

美國政府試圖扣押113個與朝鮮黑客組織有關地址中的加密貨幣:此前，美國司法部稱，兩名中國公民因涉嫌幫助朝鮮黑客組織清洗了1億美元被盜的加密貨幣，而被指控犯有洗錢陰謀罪和經營無證匯款業務罪。周一，另一份對物沒收文件顯示，美國政府正試圖扣押113個不同地址的加密貨幣，并稱這兩名被告清洗了“大部分被盜的BTC”。根據這份文件，總共有2.34億美元的加密貨幣被盜，包括BTC、ETH、ZEC、DOGE、XRP、LTC和ETC等。大多被盜加密貨幣通過“剝皮鏈（peel chains）”進行洗錢。注：剝皮鏈是指一連串交易，通常被用于洗錢，在這種交易中，欺詐者會通過多個錢包連續快速地發送資金，通常在每一步將少量資金進行兌現，然后將大部分貨幣發送到下一個錢包。被告將部分加密貨幣賣給了美國客戶，并通過美國交易所進行交易，此外還涉及一家韓國交易所。美國司法部的一份新聞稿指出，完成清洗的資金幫助朝鮮繼續對其他金融行業參與者進行攻擊。文件還稱，兩名被告還與韓國一家交易所“被盜大約4850萬美元”的加密貨幣有關。雖然司法部沒有透露該交易所的名稱，但Upbit曾在2019年11月27日報告稱因黑客攻擊而損失了約4900萬美元的加密資產。（CoinDesk）[2020/3/4]

緊接著，PI-DAO項目被閃存貸攻擊利用，造成了6445美元的損失。

動態 | 近幾個月黑客非法挖礦攻擊行為下降:7月19日，據外媒報道，網絡安全公司Malwarebytes的一份研究報告顯示，近幾個月來，隨著利潤變得不那么豐厚，黑客的非法挖礦攻擊行為顯著減少。

報告稱，今年3月，人們的臺式電腦上發現了500萬個非法加密貨幣挖礦軟件，但在6月大幅下降至150萬。另外，商用臺式電腦礦工由1月早些時候的10萬人在6月下降至約3萬。[2018/7/19]

這一系列攻擊的攻擊者與攻擊方法，與同一天早些時候發生的WienerDOGE相同。

攻擊步驟

①攻擊者通過閃電貸獲得了2900枚BNB。

②攻擊者將2900枚BNB換成了6,638,066,501,83枚WDOGE。

●LP的狀態：

??○WdogE:199,177,850,468

??○WBNB:2978

③將5,974,259,851,654枚WDOGE發送到LP，由于WDOGE比BNB多，所以LP現在處于不平衡狀態。

●LP的狀態：

??○?WDOGE:5,178,624,112,169

??○?WBNB:2978

④調用skim()函數，從LP中取回4,979,446,261,701枚WDOGE。由于攻擊者在調用skim()之前發送了大量的WDOGE，所以LP將支付大量的費用。這一操作清空了LP內的WDOGE的數量。

攻擊者還調用可sync()函數來更新LP內的儲備值。若干枚WDOGE和2978枚BNB的存在，造成了WDOGE的價格與WBNB相比異常昂貴。

⑤最后，攻擊者用剩下的WDOGE換回了2978枚BNB，償還了閃電貸，賺取了78枚BNB。

而其他幾個項目被攻擊的流程步驟也相似：

閃電貸取得WBNB，并用WBNB換取LP中的通縮代幣；

直接將通縮的代幣轉移到LP對上；

調用skim()函數，迫使LP對輸回通縮代幣；

由于轉讓費的存在，攻擊者會重復步驟2~3，將LP對中的通縮代幣耗盡；

通過LP對中的價格不平衡來獲取利潤。

漏洞分析

當用戶轉移一定數量的WDOGE時，除了費用，還有4%的代幣將被銷毀。

因此，如果LP發送100枚WDOGE，其余額將減少104枚WDOGE。

所以，LP應該被排除在費用和代幣銷毀之外。

寫在最后

如果同時對代幣和LP合約進行審計，這一風險因素就可以被發現。

然而，如果只有代幣合約被審計，那么交換機制將被視為一個外部依賴。

而這種情況在審計過程中將會指出第三方依賴風險。具體為：如果是代幣合約，CertiK審計專家將會與項目方討論，確認是否需要除去LP對的手續費；如果是LP對方的合約，CertiK審計專家會提出通縮幣的討論，并且提醒項目方可能存在的風險。

Tags：DOGEDOGWDOWDOGbabydoge幣消息gdoge幣金狗wdo幣等于人民幣WDOG價格

SHIB最新價格