据官方tg群消息,北京时间5月22日晚BoggedFinance项目遭遇闪电贷攻击,随后BOG代币价格断崖式下跌。
知道创宇区块链
安全
实验室
第一时间跟进分析本次安全事件。
以造成本次闪电贷攻击的其中一笔交易为例,对应具体交易hash如下:0x47a355743456714d9abc23e1dff9e26430e38e84cc8b8e0a0b4ca475918f3475
Shiba Inu宣布将BONE铸造率调整为1 BPB:7月16日消息,Shiba Inu(SHIB)团队宣布,为了防止过度铸造BONE奖励,已经根据此前DOGGY DAO:BONE Farms提案结果,调整其奖励代币BONE的铸造率为1 BPB(每个区块1 BONE)。
值得注意的是,Shiba Inu仍然希望继续提供ShibaSwap奖励,因为正在为即将推出的TREAT代币的发布做准备。(The Crypto Basic)[2022/7/16 2:17:30]
黑客地址0x4622A1f3d05DcF5A0589c458136C231009B6A207通过攻击合约0xe576790f35A8cC854d45b9079259Fe84F5294e07进行闪电贷攻击,通过调用攻击合约中攻击函数,传入参数15000000000000000000000,通过BankController合约进行闪电借贷15000BNB,通过WBNB合约兑换后开始进行套利攻击。
Bored Ape NFT拍卖出价升至450万美元:金色财经报道,苏富比正在拍卖107个Bored Ape Yacht Club NFT,目前的最高出价已达到450万美元。截至目前,另外107个Bored Ape Kennel Club NFT拍卖中的最高出价已达42万美元。苏富比预计,到9月9日结束时,拍卖将产生1200万至1800万美元的收入。[2021/9/3 22:56:43]
本次闪电贷攻击主要是由于BoggedFinance合约中_transferFrom函数中利用_txBurn函数出现逻辑漏洞,代币合约对所有交易应当收取5%的交易额作为交易费用来销毁,其中4%分红给lp提供者,1%被烧毁,但在_transferFrom函数中未校验转账地址,允许向自己转账,在自我转账的过程中,仅扣除1%手续费,而包括攻击者在内的lp提供者获得4%的分红奖励,所以攻击者可以通过添加大量流动性进行流动性挖矿,并且反复自我转账获利,最终移除流动性从而完成攻击过程。
Facebook广告使用虚假福布斯加密货币文章:最近有虚假的福布斯文章出现在Facebook上。虚假文章引导用户访问看起来相同的网页和博客,并将用户重定向到乌克兰的一个网站,如果用户提供了一些个人数据,就会成为无数电话的目标,并被说服需要多次支付250美元。(CryptoPotato)[2020/5/28]
通过查看浏览器交易显示,攻击者在该笔交易中分4次将1298.20BNB、1489.05BNB、1707.95BNB、1959.03BNB在PancakeSwap中兑换为47770BOG,并用共计8434.07BNB和281174.22BOG在PancakeSwap的BNB-BOG池中添加流动性
如下图所示,攻击者在该笔交易中通过以下5笔交易将如下所示数量的WBNB与BOG添加流动性并将所获得的流动性代币进行抵押挖矿。
图1添加流动性并进行你抵押挖矿为多次转账准备
随后,攻击者通过攻击合约多次进行自我转账,进行获利。
图2反复自我转账
最后,攻击者通过Nerve
跨链
桥将它们分批次转换为
ETH
进行套现后移除流动性,返还闪电贷完成本次攻击。
图3移除流动性
图4返还闪电贷
在攻击发生后,项目社区内疑似管理员身份发布了相关通知,且现合约中已关停相关手续费收取功能,对应的_burnRate被设置为0,不存在套利空间。
图5社群通知
图6关闭手续费收取功能
最近BSC链上接连发生闪电贷攻击事件,随着链上
DeFi
生态的飞速发展,攻击事件频频爆发。高级复杂的闪电贷攻击手法,已经在以太坊生态中上演过很多次。可见,随着其他链上DeFi生态的发展,攻击者已逐渐将攻击目标扩大到其他链的DeFi生态,DeFi安全问题也越来越需要被重视。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。