比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

SDO:SafeDollar 歸零 Polygon生態的“潘多拉魔盒”已打開?_SDO幣

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間6月28日,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,Polygon生態算法穩定幣項目SafeDollar遭到黑客攻擊。攻擊事件發生后,SafeDollar項目所發行的穩定幣價格從1.07美元,瞬間跌至歸零。

有消息指出,一份未經證實的合約抽走了25萬美元的USDC和USDT;后經Rugdoc.io分析證實,此次攻擊事件中黑客總共獲利價值25萬美元的USDC和USDT。隨后,SafeDollar項目方發布公告,要求投資者停止所有與SDO相關的交易。目前,SDO交易已暫時中止。

鑒于此次攻擊事件所具備的標志意義,成都鏈安·安全團隊第一時間介入分析。繼5月初BSC諸多鏈上項目頻頻被黑之后,6月末Polygon生態也開始被黑客盯上,“潘多拉魔盒”是否已經悄然開啟?借此事件,成都鏈安通過梳理攻擊流程和攻擊手法,提醒Polygon生態項目加強安全預警和防范工作。

Gnosis Safe發布新版用戶空投明細,合格地址較此前減少12,250個:9月22日消息,數字資產管理平臺Safe(原Gnosis Safe)官方GitHub文件顯示,新版用戶空投明細中合格用戶地址共計43,469個,此前為55,719個。共計28個用戶地址將接受舉報成功獎勵。

此前報道,Gnosis Safe發起空投獵人舉報活動,成功提交刷單地址者將可獲得獵人地址原計劃空投的25% SAFE Token,報告必須在北京時間2022年9月19日6時前提交至GitHub。[2022/9/22 7:14:13]

二、事件分析

此次攻擊事件中,攻擊者利用PLX代幣轉賬時實際到賬數量小于發送數量以及SdoRewardPool合約抵押和計算獎勵上存在的邏輯缺陷,借助“閃電貸”控制SdoRewardPool合約中抵押池的抵押代幣數量,進而操縱獎勵計算,從而獲得巨額的SDO獎勵代幣,最后使用SDO代幣將SDO-USDC和SDO-USDT兩種兌換池中USDC和USDT全部兌換出來。

自我托管解決方案Safeheron融資700萬美元:金色財經報道,web3領域自我托管解決方案Safeheron,宣布已完成 700 萬美元的 A 輪前融資。 該輪融資的共同牽頭人是早期風險投資公司 Yunqi Partners 以及混合風險投資和對沖基金 Web3Vision。其他投資者包括 M77 Ventures、PrimeBlock Ventures 和Waterdrip Capital。

這種技術知識幫助 Safeheron 創建了一個解決方案,使加密原生中小型企業更容易采用機構級的自托管安全性。 Safeheron 利用多方計算 (MPC) 和可信執行環境 (TEE) 來提供更高的托管安全性。 (the block)[2022/8/19 12:36:31]

攻擊者地址:

0xFeDC2487Ed4BB740A268c565daCdD39C17Be7eBd

鏈游公會YGG回應Merit Circle社區:SAFT協議除資本投資外并未提及其他增值服務:5月26日消息,鏈游公會Yield Guild Games(YGG)針對Merit Circle社區一位成員發起的擬公開撤銷YGG的種子輪代幣分配的治理提案表示,2021年9月,YGG與Merit Circle簽訂SAFT(未來代幣簡單協議),以參與后者種子輪投資,SAFT協議中沒有與增值服務相關的條件,只要求資本投資。

5月20日,Merit Circle社區一名成員發起社區提案稱,Yield Guild Games(YGG)自成為種子投資者以來未能為DAO提供價值,擬取消YGG的SAFT(簡單未來代幣協議),退還其初始投資,并移除其MC種子代幣。[2022/5/26 3:43:09]

攻擊合約:

0xC44e71deBf89D414a262edadc44797eBA093c6B0

動態 | 加密交易所Liquidity Offset Network推出中央交易對手服務“ OTSafe”:據The Block消息,加密貨幣衍生品交易所Liquidity Offset Network推出中央交易對手服務“ OTSafe”,該服務可幫助OTC交易者降低信用風險并管理抵押要求。[2020/1/28]

0x358483BAB9A813e3aB840ed8e0a167E20f54E9FB

攻擊交易:

0xd78ff27f33576ff7ece3a58943f3e74caaa9321bcc3238e4cf014eca2e89ce3f

0x4dda5f3338457dfb6648e8b959e70ca1513e434299eebfebeb9dc862db3722f3

動態 | 幣安慈善與烏干達Safe Future簽署諒解備忘錄,為10萬名兒童提供援助:據幣安官方消息,5月30日,區塊鏈資產交易平臺幣安旗下慈善機構幣安慈善基金會(BCF)宣布,與烏干達總統事務部長發起設立的非政府組織(NGO)Safe Future簽署諒解備忘錄,利用區塊鏈技術, 共同協助烏干達提高該國的教育水平。 幣安慈善基金會執行總監Athena Yu以及Safe Future首席執行官Mula Anthony表示,幣安兒童慈善計劃將為10萬名兒童創造更為光明的未來。[2019/6/1]

0x1360315a16aec1c7403d369bd139f0fd55a99578d117cb5637b234a0a0ee5c14

以下分析基于以下兩筆交易:

0xd78ff27f33576ff7ece3a58943f3e74caaa9321bcc3238e4cf014eca2e89ce3f

0x1360315a16aec1c7403d369bd139f0fd55a99578d117cb5637b234a0a0ee5c14

攻擊者首先使用PolyDex的WMATIC和WETH池進行PLX借貸,如下圖所示:

接下來,攻擊者通過攻擊合約反復進行抵押提取,主要是為了減少SdoRewardPool合約中SDO抵押池中的抵押代幣數量。

PLX代幣合約進行代幣轉移時,如果from地址不在_isExcludedFromFee列表中,并且to地址也不在_isExcludedToFee列表中,會對轉移的代幣收取一次獎勵基金以及銷毀本次轉移代幣數量的0.05%。

而在SdoRewardPool合約中,記錄的數量為調用者所轉移的數量,沒有減去轉移過程中損耗的部分,在進行提取操作時,提取的數量為記錄的數量,超出了用戶實際抵押到本合約的數量,故會造成該抵押池中抵押代幣的異常減少。

攻擊者事先通過攻擊合約

在該抵押池中抵押214.235502909238707603PLX,在攻擊合約

攻擊完成后,控制攻擊合約

在該抵押池中進行獎勵領取,由于SdoRewardPool合約中更新抵押池信息時使用的是balanceOf函數獲取本合約中抵押代幣數量,故獲取到的數量是惡意減少之后的數量,繼而造成PLX抵押池中accSdoPerShare變量異常增大,從而獲取到巨額的SDO代幣獎勵。

最后利用獲取到的SDO代幣將SDO-USDC和SDO-USDT兩種兌換池中USDC和USDT全部兌換出來。

三、事件復盤

事實上,此次攻擊事件并不復雜,但是值得引起注意。首先添加抵押池時添加了非標準代幣,再加上計算獎勵時使用了balanceOf函數進行抵押代幣數量的獲取,所以導致了此次攻擊事件的發生。

從安全審計的角度看,項目方作為添加抵押池的管理員,對于將要添加的抵押池中的抵押貸幣,一定要三思而后行。通脹通縮類以及轉移數量與實際到賬數量不同的代幣,不建議作為抵押池的抵押代幣;如果因業務需要一定要添加這些類型的代幣作為獎勵代幣,務必與其他標準代幣分開處理。同時在抵押池中建議使用一個單獨的變量作為抵押數量的記錄,然后計算獎勵時,使用通過此變量來獲取抵押代幣數量,而不是使用balanceOf函數。

另外,此次攻擊事件對于Polygon生態鏈上項目而言,是否會是一個“危險信號”,Polygon生態的“潘多拉魔盒”是否會就此打開,這還需要觀望后續態勢發展。不過,回望5月,BSC生態發生第一起閃電貸攻擊之后,便就此拉開了“BSC黑色五月”序幕。鑒于前車之鑒,成都鏈安在此提醒,Polygon生態鏈上項目未雨綢繆,切實提高安全意識!

Tags:SDOSAFEUSDOLYSDO幣安網幣safe最新消穩定幣USDTpolygon幣價格

火幣網下載官方app
SWAP:DeFi之王Uniswap 其V3版本的運行原理及其利弊_UNI

AMM是AutomatedMarketMaker的縮寫,中文名字叫自動做市商。往簡單了說,就是由一個算法代替傳統中心化平臺的位置,為市場上的兌換提供流動性的平臺.

1900/1/1 0:00:00
比特幣:薩爾瓦多通向“法幣化”的荊棘之路_CHI

上個月,薩爾瓦多國會以84名議員中獲得62張贊成票通過了《比特幣法》,在全球范圍內首開主權國家將比特幣作為法定貨幣的用例.

1900/1/1 0:00:00
比特幣:薩爾瓦多將比特幣納入法定貨幣隱憂:Strike支付的合規問題_tribe幣發行價格

薩爾瓦多總統NayibBukele本月宣布,薩爾瓦多將成為世界上第一個接受比特幣作為法定貨幣的國家,這一舉動引起了軒然大波.

1900/1/1 0:00:00
比特幣:金色早報 | 拜登下令就美國200多家公司遭勒索軟件攻擊事件進行調查_btcs幣官網

頭條 ▌拜登下令就美國200多家公司遭勒索軟件攻擊事件進行調查美國拜登下令就美國200多家公司遭勒索軟件攻擊事件進行調查,拜登稱:“最初的想法是不是俄羅斯政府所為,但我們還不確定.

1900/1/1 0:00:00
NFT:金色DeFi日報 | SushiSwap宣布Sushi孵化器首個項目_fio幣NFT

DeFi數據 1.DeFi總市值:674億美元 市值前十幣種排名數據來源DeFiboxDeFi總市值數據來源:Coingecko2.過去24小時去中心化交易所的交易量:39.

1900/1/1 0:00:00
加密貨幣:全面禁止挖礦 迷茫的礦工能去哪?_比特幣

6月19日,四川的礦機也關了。一則視頻火爆了朋友圈:比特幣礦機的電源被切斷,一排排跳動的綠光逐一熄滅。 有人說:“這是一個時代的結束。”不久之前,內蒙、新疆、青海的礦工也經歷了這樣難熬的夜晚.

1900/1/1 0:00:00
ads