:"\u003Cp\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061404\u002F7abdur3rls79b9bi.png!webp\"data-img-size-val=\"726,443\"width=\"726\"\u002F\\\u003E\u003C\u002Fp\u003E\u003Cp\u003E据官方tg群消息,北京时间5月22日晚BoggedFinance项目遭遇闪电贷攻击,随后BOG代币价格断崖式下跌。\u003Cspan\u003E知道创宇区块链\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E安全\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E实验室\u003C\u002Fspan\u003E第一时间跟进分析本次安全事件。\u003C\u002Fp\u003E\u003Cp\u003E以造成本次闪电贷攻击的其中一笔交易为例,对应具体交易hash如下:0x47a355743456714d9abc23e1dff9e26430e38e84cc8b8e0a0b4ca475918f3475\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061603\u002Fpc2ufvljrg0zj92i.png!webp\"data-img-size-val=\"730,350\"width=\"730\"\u002F\\\u003E\u003C\u002Fp\u003E\u003Cp\u003E黑客地址0x4622A1f3d05DcF5A0589c458136C231009B6A207通过攻击合约0xe576790f35A8cC854d45b9079259Fe84F5294e07进行闪电贷攻击,通过调用攻击合约中攻击函数,传入参数15000000000000000000000,通过BankController合约进行闪电借贷15000BNB,通过WBNB合约兑换后开始进行套利攻击。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061642\u002Fpinqj3r6bt05y6c8.png!webp\"data-img-size-val=\"723,138\"width=\"723\"\u002F\\\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061651\u002Fuf14ov48xdn0zkmi.png!webp\"data-img-size-val=\"726,60\"width=\"726\"\u002F\\\u003E\u003C\u002Fp\u003E\u003Cp\u003E本次闪电贷攻击主要是由于BoggedFinance合约中_transferFrom函数中利用_txBurn函数出现逻辑漏洞,代币合约对所有交易应当收取5%的交易额作为交易费用来销毁,其中4%分红给lp提供者,1%被烧毁,但在_transferFrom函数中未校验转账地址,允许向自己转账,在自我转账的过程中,仅扣除1%手续费,而包括攻击者在内的lp提供者获得4%的分红奖励,所以攻击者可以通过添加大量流动性进行流动性挖矿,并且反复自我转账获利,最终移除流动性从而完成攻击过程。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061347\u002Fn8t5c64ug0gszwhw!webp\"data-img-size-val=\"726,179\"width=\"726\"\u002F\\\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061347\u002Fn4s20py53z0dbheb!webp\"data-img-size-val=\"720,437\"\u002F\\\u003E\u003C\u002Fp\u003E\u003Cp\u003E通过查看浏览器交易显示,攻击者在该笔交易中分4次将1298.20BNB、1489.05BNB、1707.95BNB、1959.03BNB在PancakeSwap中兑换为47770BOG,并用共计8434.07BNB和281174.22BOG在PancakeSwap的BNB-BOG池中添加流动性\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061347\u002F92h2yl8rguvwuamp!webp\"data-img-size-val=\"720,374\"\u002F\\\u003E\u003C\u002Fp\u003E\u003Cp\u003E如下图所示,攻击者在该笔交易中通过以下5笔交易将如下所示数量的WBNB与BOG添加流动性并将所获得的流动性代币进行抵押挖矿。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061347\u002Fbwhlgc1wa89l9ee1!webp\"data-img-size-val=\"720,166\"\u002F\\\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061347\u002Fqjjpv0qjkp8bh4gx!webp\"data-img-size-val=\"720,97\"\u002F\\\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061347\u002Ft8l7m56fqfsd6gd5!webp\"data-img-size-val=\"720,89\"\u002F\\\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061347\u002F84y9p3zstts8o462!webp\"data-img-size-val=\"720,84\"\u002F\\\u003E\u003C\u002Fp\u003E\u003Cpclass=\"img-desc\"\u003E图1添加流动性并进行你抵押挖矿为多次转账准备\u003C\u002Fp\u003E\u003Cp\u003E随后,攻击者通过攻击合约多次进行自我转账,进行获利。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061347\u002F2cnr2xfhpg55664d!webp\"data-img-size-val=\"720,165\"\u002F\\\u003E\u003C\u002Fp\u003E\u003Cpclass=\"img-desc\"\u003E图2反复自我转账\u003C\u002Fp\u003E\u003Cp\u003E最后,攻击者通过Nerve\u003Cspanclass=\"alert\"\u003E\u003Cspanclass=\"alertFont\"\u003E\u003Cspanclass=\"font\"\u003E跨链\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E桥将它们分批次转换为\u003Cspanclass=\"alert\"\u003E\u003Cspanclass=\"alertFont\"\u003E\u003Cspanclass=\"font\"\u003EETH\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E进行套现后移除流动性,返还闪电贷完成本次攻击。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061347\u002F9sh9bat72nzovqmu!webp\"data-img-size-val=\"720,345\"\u002F\\\u003E\u003C\u002Fp\u003E\u003Cpclass=\"img-desc\"\u003E图3移除流动性\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061347\u002Fjfulitpdgkkczt20!webp\"data-img-size-val=\"720,106\"\u002F\\\u003E\u003C\u002Fp\u003E\u003Cpclass=\"img-desc\"\u003E图4返还闪电贷\u003C\u002Fp\u003E\u003Cp\u003E在攻击发生后,项目社区内疑似管理员身份发布了相关通知,且现合约中已关停相关手续费收取功能,对应的_burnRate被设置为0,不存在套利空间。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061347\u002Fjdqx1e051fmstnkc!webp\"data-img-size-val=\"720,629\"\u002F\\\u003E\u003C\u002Fp\u003E\u003Cpclass=\"img-desc\"\u003E图5社群通知\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimgalt=\"BoggedFinance攻击事件分析\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202105\u002F24061347\u002Fx8i31p8zmknvqyfj!webp\"data-img-size-val=\"403,158\"\u002F\\\u003E\u003C\u002Fp\u003E\u003Cpclass=\"img-desc\"\u003E图6关闭手续费收取功能\u003C\u002Fp\u003E\u003Cp\u003E最近BSC链上接连发生闪电贷攻击事件,随着链上\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003EDeFi\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E生态的飞速发展,攻击事件频频爆发。高级复杂的闪电贷攻击手法,已经在以太坊生态中上演过很多次。可见,随着其他链上DeFi生态的发展,攻击者已逐渐将攻击目标扩大到其他链的DeFi生态,DeFi安全问题也越来越需要被重视。\u003C\u002Fp\u003E
dFuture将在PancakeSwap开启 DFT Boost及Syrup Pool:6月17日消息,dFuture与PancakeSwap达成深度合作,dFuture将在PancakeSwap平台开启Boost 30天限时活动,DFT-BNB会从0.1X 倍升至0.5倍。同时还将启动DFT/BNB Syrup Pool,CAKE持仓用户可质押CAKE来无损获取总计30万个DFT,活动将持续60天,每块区块奖励1.7361DFT。
dFuture是由MIX集团旗下Mix Labs打造的去中心化衍生品交易协议,采用QCAMM做市商协议,具有零滑点、高交易深度、零无偿损失的特点。[2021/6/17 23:44:01]
LBank蓝贝壳4月16日18:00上线 BOO(Booster):据官方公告,4月16日18:00,LBank蓝贝壳创新区上线BOO(Booster),开放USDT交易,4月16日17:30开放充值,4月17日18:00开放提现。上线同一时间。
持币生息是LBank为用户提供闲置数字资产增值服务,更有DOT、USDT、BTC、ETH等活期理财产品,详情请点击官方公告。[2021/4/16 20:28:06]
LBank蓝贝壳于4月9日16:50首发 BOSON:据官方公告,4月9日16:50,LBank蓝贝壳首发BOSON(Boson Protocol),开放USDT交易,4月9日16:00开放充值,4月12日16:00开放提现。上线同一时间开启充值交易BOSON瓜分10,000 USDT。
LBank蓝贝壳于4月9日16:50开启充值交易BOSON瓜分10,000 USDT。用户净充值数量不少于1枚BOSON ,可按净充值量获得等值1%的BOSON的USDT空投奖励;交易赛将根据用户的BOSON交易量进行排名,前30名可按个人交易量占比瓜分USDT。详情请点击官方公告。[2021/4/9 20:02:26]
声音 | Bobby Ong:区块链技术的一些关键想法可以通过降低成本使传统金融系统更加高效:加密货币聚合网站CoinGecko的联合创始人Bobby Ong最近在讨论加密货币的未来发展时表示:“我们仍处于加密货币和区块链技术发展的初期。由于加密货币的创新特性,在找到一个好的用例之前会有很多试验和错误。从长远来看,加密货币很可能在未来物联网的机器对机器交互中扮演重要角色。分布式自治组织也将发挥重要作用,智能合约将根据事件自动执行。加密货币和区块链技术的一些关键的想法,可以通过降低成本结构使传统的金融系统更加高效。从中期来看,加密货币在汇款和微支付行业的应用非常广泛。大量风险资本正流入比特币公司,这些公司的目标是降低跨境支付的成本,并允许通过互联网进行小额转账。在线支付可能会成为未来的一种规范,新的商业模式可能会出现,比如内容创造者会对他们的文章或视频收取小额费用,而不是依赖广告。”[2019/9/8]
动态 | Bounties Network为清洁菲律宾海滩志愿者提供ETH奖励:据Cryptovest消息,区块链应用程序Bounties Network和区块链解决方案提供商ConsenSys Social Impact携手开展环境康复计划,旨在通过奖励志愿者以太网(ETH)来拯救菲律宾的海滩。该项目旨在为当地社区提供激励措施,以启动清理工作以拯救他们的环境,而无需等待集中组织领导。[2018/12/10]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。