ERT:遭受價格操控攻擊損失約73萬美元：bDollar被攻擊事件分析_wkgcoin

2022年5月21日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示， bDollar項目遭受價格操控攻擊，攻擊者獲利2381WBNB（價值約73萬美元）。成都鏈安技術團隊第一時間對事件進行了分析，結果如下。

#1 項目相關信息

CertiK：pandorachainDAO項目遭受閃電貸攻擊:金色財經報道，據CertiK安全團隊監測，北京時間2022年6月22日19:52:57，pandorachainDAO項目遭受閃電貸攻擊，導致了價值約12.8萬美元的資產損失。[2022/6/23 1:25:12]

由 Bearn.fi 提供的 bDollar 是幣安智能鏈上的第一個算法穩定幣，它可以確定性地調整其供應量，將代幣的價格向目標價格方向移動，從而為 DeFi 帶來可編程性和互操作性。

#2 事件相關信息

聲音 | Vertcoin首席維護人員：Vertcoin（VTC）遭受了51％攻擊:Vertcoin首席維護人員、MITDCI研究員metalicjames在github表示：“2019年11月30日，一名Vertcoin礦工注意到Nicehash上Lyra2REv3的哈希租賃價格大幅上漲。這與連接到Nicehash的服務器一起被發送到未知(非公共)Vertcoin區塊。我聯系了交易Vertcoin的知名交易所Bittrex，建議他們一旦發現攻擊，就在平臺上禁用Vertcoin錢包，(他們后來也這么做了)。這次攻擊發生在2019年12月1日15:19:47 GMT ，603個區塊從VTC主鏈上移除，取而代之的是553個攻擊者區塊。我們注意到，目前在Bittrex上VTC的確認要求是600個區塊。有5個“雙重產出”，其中125個 VTC被重定向。根據攻擊準備過程中的市場價格和攻擊者生成區塊的難度，我們估計攻擊者執行攻擊的花費在0.5-1 BTC之間。所收到的區塊獎勵的總價值為13825個VTC(~0.44個BTC)。注，Vertcoin之前在2018年12月也受到了51％攻擊，此后將其工作量證明算法更改為Lyra2REv3。”[2019/12/2]

攻擊交易

動態 | 墨西哥石油公司PEMEX遭受網絡攻擊 黑客要求支付價值500萬美元的比特幣:金色財經報道，墨西哥石油公司PEMEX遭受網絡攻擊，黑客要求支付價值500萬美元的比特幣。據墨西哥石油公司PEMEX五位員工和內部郵件透露，Pemex表示在周日發現了黑客事件，迫使該公司關閉了墨西哥各地的計算機，并凍結了付款等系統。Pemex計算機上出現的贖金字樣指向與“ DoppelPaymer”（一種勒索軟件）相關的暗網。該網站要求Pemex在48小時內支付565枚比特幣（價值500萬美元）。黑客稱，Pemex在遭受第一次網絡攻擊后沒有立即支付贖金，但Pemex仍然有時間滿足其比特幣需求，在新的期限到期之前，不會進一步發表評論。（路透社）[2019/11/13]

0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4

網絡安全研究機構: 超過300個網站遭受“加密黑客”攻擊:網絡安全研究機構Bad Packets Report發現，有超過300個網站遭受黑客攻擊，被安裝瀏覽器挖礦軟件Coinhive，以利用舊版本內容管理系統中的漏洞來挖掘門羅幣。遭受攻擊的網站多屬于政府機構或者高校，包括阿勒頗大學和墨西哥Chihuahua市政府等。[2018/5/8]

攻擊者地址

0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e

攻擊合約

0x6877f0d7815b0389396454c58b2118acd0abb79a

被攻擊合約

0xeaDa3d1CCBBb1c6B4C40a16D34F64cb0df0225Fd

1、通過閃電貸借出670WBNB。

2、 將其分成多份分別轉入到WBNB/BDO、BUSD/BDO等多個池子進行兌換，拉高BDO的價格。

3、攻擊者接著借出30,516 cake用于后續攻擊：調用DAO Fund合約中的claimAndReinvestFromPancakePool函數，該函數將cake兌換成400個wbnb，且觸發了200WBNB兌換BDO，然而最后會調用_addLiquidity，用合約中的WBNB去添加流動性。此時由于BDO價格很高，導致添加流動性時需要使用項目方合約中大量的WBNB，相當于項目方高位接盤。

4、最后攻擊者通過pancake兌換出WBNB，歸還閃電貸，獲利2381 WBNB。

本次攻擊主要利用了DAO fund代理合約CommunityFund中claimAndReinvestFromPancakePool函數在添加流動性時的設計漏洞，未充分考慮到價格被惡意拉高后，項目方會在添加流動性時，用自己合約內的資金被動高位接盤的情況。

截止發文時，被盜資金還未被攻擊者轉出，仍存在攻擊合約中：0x6877F0D7815b0389396454C58b2118ACD0aBB79A。

針對本次事件，成都鏈安技術團隊建議：

1、合約在設計時應充分考慮可能遇到的攻擊，盡量完善其安全設計；

2、項目上線前，建議選擇專業的安全審計公司進行全面的安全審計，規避安全風險。

Tags：ERTCOINOINWBNBERT價格kucoinpro官網wkgcoinwbnb是騙局嗎

BNB價格