北京时间 2022 年 4 月 30 日,知道创宇区块链安全实验室 监测到 BSC 链上的 bDollar 项目遭到价格操纵攻击,导致损失约 73 万美元。
知道创宇区块链安全实验室 第一时间跟踪本次事件并分析。
攻击者地址:0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e
攻击合约:0x6877f0d7815b0389396454c58b2118acd0abb79a
Axie Infinity联合创始人:Axie Infinity每天有约100万名活跃玩家是加密新手:10月8日消息,Axie Infinity 联合创始人 Aleksander Leonard Larsen在Token2049 上关于元宇宙的小组讨论中表示,Axie Infinity 每天有大约 200 万活跃玩家,其中 50% 以前从未使用过任何加密应用程序。 他表示:“现在开始玩 Axie 真的很难。基本上,他们无法进入游戏本身,因为它太难了。”
为了让新玩家的上手流程顺畅,Axie Infinity 开发商 Sky Mavis 上个月宣布计划为新玩家提供免费的入门 Axies(目前,新玩家首先需要购买三个 Axies,每个可能要花费数百美元)。[2021/10/8 20:12:19]
tx:0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4
央行反局负责人:利用比特币等虚拟货币进行的新手段更加隐蔽:最高人民检察院第四检察厅、中国人民银行反局负责人就联合发布惩治犯罪典型案例答记者问,随着社会经济的快速发展,各类犯罪与活动相互交织渗透,犯罪充当助纣为虐、为虎作伥的角色,手段不断翻新,涉案金额持续攀升。为非法吸收公众存款、集资等涉众型犯罪转移非法资金的案件持续高发,利用网络贩、跨境贩并清洗资赃的犯罪呈现多发态势,利用比特币等虚拟货币进行的新手段更加隐蔽......各类犯罪活动给社会稳定、金融安全和司法公正造成严重威胁。根据党中央、国务院对反工作的重要部署要求,最高人民检察院、中国人民银行充分发挥部门职能,着力加强协同合作,有力打击了各类违法犯罪活动,依法严惩了一批犯罪分子。(中国金融新闻网)[2021/3/19 18:59:34]
CommunityFund 合约:0xEca7fC4c554086198dEEbCaff6C90D368dC327e0
瑞士手表品牌百年灵宣布为其所有新手表提供区块链数字护照:瑞士独立制表品牌百年灵BREITLING近日宣布,将为其所有新手表提供基于以太坊技术的数字护照。而早在2020年3月,百年灵已宣布为其旗下一款产品配置了区块链数字护照。(CoinDesk)[2020/10/15]
漏洞关键在于 CommunityFund 合约中的 claimAndReinvestFromPancakePool 方法在使用 Cake 代币进行代币转换时,会对换取的 WBNB 数量进行判断并且会自动把换取的 WBNB 的一半换为 BDO 代币;而之后合约会自动使用合约中的 WBNB 为池子添加流动性,若此时 BDO 代币的价值被恶意抬高,这将导致项目方使用更多的 WBNB 来为池子添加流动性。
58学院TIM:合约新手应避免盲目性质的交易 学会敬畏市场:今晚,58学院研究员TIM在直播间表示,合约本身就是以小博大的对冲保值利器,对于新手,首先要学习合约交易的基本概念、一些交易和解读市场的基本技巧;其次要学会控制仓位,切勿满仓梭哈;然后,学会使用杠杆,以较小保证金参与,去追逐较大现货头寸的波动收益。最后避免盲目性质的交易行为,敬畏市场。此外,Tim还透露,58COIN即将上线一键反手功能以及C2C借贷业务。[2020/5/21]
而最为关键的是,攻击者实施攻击前,在 WBNB/BDO、Cake/BDO、BUSD/BDO 池子中换取了大量 BDO 代币导致 BDO 价格被抬高。
在我们对攻击交易进行多次分析之后,发现事情并没有那么简单,该次攻击极有可能是被抢跑机器人抢跑交易了,依据如下:
1、该笔攻击交易比 BSC 链上普通交易 Gas 费高很多,BSC 链上普通交易默认 Gas 费为 5Gwei,而该笔交易竟高达 2000Gwei。
2、我们发现该攻击合约与攻击者地址存在多笔抢跑交;
3、我们在相同区块内找寻到了真实攻击者的地址与交易,该交易被回滚了。
1、攻击者使用闪电贷贷款 670 枚 WBNB;
2、之后攻击者将 WBNB 在各个池子中换取大量 BDO 代币;
3、随后攻击者再次使用闪电贷贷款 30516 枚 Cake 代币;
4、将贷款的 Cake 代币进行 swap,换取 400WBNB,其中 200 枚被协议自动换取为 BDO 代币;
5、攻击者将 WBNB 换取 Cake 代币用于归还闪电贷;
6、最后,攻击者将升值后的 3,228,234 枚 BDO 代币换取 3020 枚WBNB,还款闪电贷 671 枚,成功套利 2381 枚 WBNB 价值约 73 万美元。
本次攻击事件核心是合约会为流动性池自动补充流动性,而未考虑代币价格是否失衡的情况,从而导致项目方可能在价格高位对流动性进行补充,出现高价接盘的情况。
建议项目方在编写项目时多加注意函数的逻辑实现,对可能遇到的多种攻击情况进行考虑。
在此提醒项目方发布项目后一定要将私钥严密保管,谨防网络钓鱼,另外,近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。