BNB:創宇區塊鏈｜bDollar 項目遭受攻擊 價格如何能成為一把利器_PAY

北京時間 2022 年 4 月 30 日，知道創宇區塊鏈安全實驗室 監測到 BSC 鏈上的 bDollar 項目遭到價格操縱攻擊，導致損失約 73 萬美元。

知道創宇區塊鏈安全實驗室 第一時間跟蹤本次事件并分析。

攻擊者地址：0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e

攻擊合約：0x6877f0d7815b0389396454c58b2118acd0abb79a

Synthetix已上線USDT永續合約市場:8月10日消息，合成資產協議Synthetix已上線USDT永續合約市場，用戶可通過已集成 Synthetix Perps 的交易前端（Kwenta、Polynomial 和 dHEDGE）進行 USDT 杠桿交易，價格將由 Pyth 預言機喂價。[2023/8/10 16:16:54]

tx：0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4

CommunityFund 合約：0xEca7fC4c554086198dEEbCaff6C90D368dC327e0

火幣第七期投票上幣活動初賽投票于8月7日20:00開啟:據官方消息，火幣公告表示，第七期投票上幣活動初賽投票，將在8月7日20:00(UTC＋8)正式開啟。據悉，參與此次活動的報名項目100余個，最終通過審核入選的項目共有12個，用戶持有“火箭”即可參與投票，票數排名第一的項目將在火幣開啟交易服務。

公告顯示，本次投票活動共有預熱拉票期、初賽投票期、決賽投票期三個階段，可投票數皆以2023年8月2日20:00 (UTC+8) 快照用戶的火箭數量為準，1火箭＝1票，最低投票數量為1票。此外，使用“火箭”投票，用戶的資產賬戶余額不會進行鎖倉。

公告稱，“火箭計劃”是火幣為提升用戶活動體驗推出，“火箭”指的是用戶在火幣的30天平均資產余額折合USDT的數量，1USDT等于1火箭。[2023/8/7 21:29:23]

漏洞關鍵在于 CommunityFund 合約中的 claimAndReinvestFromPancakePool 方法在使用 Cake 代幣進行代幣轉換時，會對換取的 WBNB 數量進行判斷并且會自動把換取的 WBNB 的一半換為 BDO 代幣；而之后合約會自動使用合約中的 WBNB 為池子添加流動性，若此時 BDO 代幣的價值被惡意抬高，這將導致項目方使用更多的 WBNB 來為池子添加流動性。

對沖基金Hunting Hill啟動數字資產子公司Hunting Hill Digital:金色財經報道，對沖基金 Hunting Hill Global Capital 啟動數字資產子公司 Hunting Hill Digital。知情人士表示，其首款產品將為 Crypto 25 Fund，最初管理的資產規模為 2000 萬至 2500 萬美元，該產品的策略將專注于按市值、流動性和性能排名前 25 位的加密貨幣。

此前報道，Genesis 前高管 Matt Ballensweig 曾在去年 12 月中旬向一位潛在投資者表示，其籌劃的名為 Hunting Hill Digital 的基金已經以 3000 萬美元的投后估值從 Bessemer Venture Partners 融資 250 萬美元，并正在另外籌集 500 萬美元。[2023/5/24 22:15:10]

加密托管服務商HyperBC與支付工具SquidPay達成戰略合作:據官方消息，日前加密托管服務商HyperBC已與支付工具SquidPay達成戰略合作，HyperBC將為SquidPay提供加密支付和資產托管解決方案，在SquidPay的業務場景中實現高效的支付體驗，并致力于成為金融發展過程中的合作新范式。

HyperBC持有合規加密資產托管牌照，為企業提供資產托管和支付解決方案，旗下包括HyperPay錢包、HyperCard數字貨幣信用卡、Hpay支付、數字貨幣ATM機等核心產品。

SquidPay的愿景是建立一個基于免費支付平臺的無現金社會，通過儲值卡、二維碼和移動應用程序提供先進的端到端即時電子支付和收款。[2022/9/14 13:28:46]

而最為關鍵的是，攻擊者實施攻擊前，在 WBNB/BDO、Cake/BDO、BUSD/BDO 池子中換取了大量 BDO 代幣導致 BDO 價格被抬高。

在我們對攻擊交易進行多次分析之后，發現事情并沒有那么簡單，該次攻擊極有可能是被搶跑機器人搶跑交易了，依據如下：

1、該筆攻擊交易比 BSC 鏈上普通交易 Gas 費高很多，BSC 鏈上普通交易默認 Gas 費為 5Gwei，而該筆交易竟高達 2000Gwei。

2、我們發現該攻擊合約與攻擊者地址存在多筆搶跑交；

3、我們在相同區塊內找尋到了真實攻擊者的地址與交易，該交易被回滾了。

1、攻擊者使用閃電貸貸款 670 枚 WBNB；

2、之后攻擊者將 WBNB 在各個池子中換取大量 BDO 代幣；

3、隨后攻擊者再次使用閃電貸貸款 30516 枚 Cake 代幣；

4、將貸款的 Cake 代幣進行 swap，換取 400WBNB，其中 200 枚被協議自動換取為 BDO 代幣；

5、攻擊者將 WBNB 換取 Cake 代幣用于歸還閃電貸；

6、最后，攻擊者將升值后的 3,228,234 枚 BDO 代幣換取 3020 枚WBNB，還款閃電貸 671 枚，成功套利 2381 枚 WBNB 價值約 73 萬美元。

本次攻擊事件核心是合約會為流動性池自動補充流動性，而未考慮代幣價格是否失衡的情況，從而導致項目方可能在價格高位對流動性進行補充，出現高價接盤的情況。

建議項目方在編寫項目時多加注意函數的邏輯實現，對可能遇到的多種攻擊情況進行考慮。

在此提醒項目方發布項目后一定要將私鑰嚴密保管，謹防網絡釣魚，另外，近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：BNBBDOWBNBPAYtogetherbnb手游下載破解SHIBDOGEwbnb幣是什么Wallet Pay

加密貨幣