NFD:首發 | 數次閃電貸無成本套利125萬美元 New Free DAO攻擊事件分析_bnb是什么意思網絡用語

2022年9月8日，CertiKSkynet天網監測到NewFreeDAO(NFD)項目遭遇了閃電貸攻擊。

漏洞在NFD項目部署的一個未經驗證的獎勵合約中，攻擊者利用閃電貸借入NFD代幣，并將其發送到攻擊合約。隨后攻擊合約則調用未經驗證的獎勵合約，向攻擊者發送更多的NFD代幣。

攻擊者在3次攻擊中重復這個過程，獲取了4481個WBNB，價值約125萬美元。

由于攻擊者大量拋售NFD代幣，該代幣的價格已經暴跌超過99%。

攻擊步驟

①攻擊者部署了一個惡意合約。在同一筆交易中，它調用了以下函數，將自己添加為合約成員。

濰坊正式發布兩份元宇宙政策文件，擬到2026年相關產業規模達3500億元:2月24日消息，濰坊正式發布《關于加快推動元宇宙產業發展的若干政策》，包含六個方面22條政策措施，其中有19條涉及資金支持。此外，記者從濰坊市工信局獲悉，《濰坊市打造元宇宙技術創新與產業之都行動計劃(2023—2026年)》）已正式印發，明確開展行業示范應用行動，在工業、教育、文旅、醫療、消費和智慧城市，六大領域開展行業應用試點，發掘元宇宙在多行業、多場景的應用潛力，推動元宇宙技術與實際應用場景結合。

濰坊提出，到2026年力爭元宇宙產業規模達到3500億元，主導產品國際市場占有率進一步提升，新增3家上市企業，引進培育100家以上元宇宙生態鏈企業，打造具有全球影響力的元宇宙產業制造基地。（大眾網）[2023/2/24 12:27:10]

②攻擊者執行了三次閃電貸攻擊，借助第一筆閃電貸款，借入250個WBNB，并將其交易為6,313,508個NFD代幣。

SBF：曾向共和黨捐款等量獻金，因擔心惹怒記者而未公開:11月30日消息，SBF在接受Tiffany Fong采訪時表示，自己曾向美國兩大黨捐款，并且給兩黨的獻金金額是均等的，但捐款給共和黨都是秘密進行的，原因是所有記者都是民主黨陣營，承認向共和黨捐款他們會“嚇壞”。

SBF表示自己不想淌那混水，于是向共和黨候選人秘密提供資金，公開會受到媒體的不利評價。[2022/11/30 21:12:30]

③這些代幣被發送到一些未經驗證的合約中。

④這調用了0xe2f9d09c，輸入NFD代幣地址0x0000000000000000000038c63a5d3f206314107a7a9fe8cbba29d629d4f9。

安全團隊：Premint NFT被黑客入侵事件總損失約為37.5萬美元:金色財經消息，據CertiK安全團隊，Premint NFT被黑客入侵事件到目前為止，總共發現了6個被利用的錢包。目前黑客從攻擊中獲得的利潤約為37.5萬美元，使其成為今年最大的NFT黑客攻擊之一。

此前昨日下午報道，黑客在premint網站中通過植入惡意的JS文件實施釣魚攻擊。premint官方提醒用戶不要簽署任何設置批準所有的交易。[2022/7/18 2:19:32]

⑤這觸發了NFD項目部署的另一個未經驗證的獎勵合約0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e.0x6811e3b9()。

巴西證券交易所B3計劃推出比特幣期貨:金色財經消息，巴西證券交易所B3首席財務官André Milanez表示，B3計劃在“未來三到六個月內”推出比特幣期貨，交易所目前正在打造基礎設施，為最終用戶提供加密市場準入。

此前，B3信息技術總監Jochen Mielke de Lima曾在1月份表示，該交易所計劃在2022年或2023年的某個時候提供比特幣和以太坊期貨。（CoinDesk）[2022/5/17 3:20:52]

之后，未驗證的合約實際上從獎勵合約中收到了額外的525,283個NFD代幣——總計6,838,792個NFD代幣，這些代幣被發回給了攻擊合約。

⑥在上述交易中，NFD合約錯誤地釋放了額外的525,283NFD。因此當攻擊者完成攻擊時，獲取了總計343,323,371個NFD代幣，在償還了最初的250WBNB貸款后，獲利4481WBNB，總價值約125萬美元。

⑦最后攻擊者通過兩筆交易，將2,000WBNB換為556,556.72USDT。目前攻擊者錢包仍持有2,481WBNB。

漏洞分析

本次攻擊事件的漏洞位于NFD項目部署的一個未經驗證的獎勵合約。由于NFD合約的源代碼在BSCScan上未被驗證，因此還無法確定攻擊者用來利用合約的確切機制。

資金去向

攻擊者總共獲得了4481個WBNB，并將其中的2000個換成了55.7萬枚USDT，剩下的WBNB仍然在攻擊者的賬戶中。

將2000WBNB交易為USDT的兩筆交易：

https://bscscan.com/tx/0x8c035fc9c3d944b3dd4a0ea721c119240cb624e79b7625a16173ad6682410599?

https://bscscan.com/tx/0xda4b4de6ecacfe9b8b60167a2010630aeec103ab51920eb2e1b94ba1fef6c95b?

相關地址

攻擊者賬戶：

https://bscscan.com/address/0x22c9736d4fc73a8fa0eb436d2ce919f5849d6fd2?

攻擊合約：

https://bscscan.com/address/0xa35ef9fa2f5e0527cb9fbb6f9d3a24cfed948863?

未經驗證的獎勵合約：

https://bscscan.com/address/0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e?

WBNB-USDT對：

https://bscscan.com/address/0x16b9a82891338f9ba80e2d6970fdda79d1eb0dae?

USDT-NFD對：

https://bscscan.com/address/0x26c0623847637095655b2868c3182b2285bdaeaf?

寫在最后

攻擊發生后，CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時，CertiK也會持續于官方公眾號發布與項目預警相關的信息。

CertiK的端到端安全解決方案，從智能合約審計和KYC項目背景調查服務，到Skynet天網動態掃描系統和SkyTrace等區塊鏈分析工具，以及漏洞賞金計劃，助力每一個項目充分發揮潛力的同時為Web3.0打造用戶和投資者高參與的生態系統。

來源：金色財經

Tags：NFDBNBWBNBCANINFD幣bnb是什么意思網絡用語wbnb和bnb區別和聯系candy幣行情

以太坊