前言
8月25日,知道创宇区块链安全实验室监测到BSC链上的DeFi协议DotFinance遭遇闪电贷袭击,价值跌落近35%。实验室第一时间跟踪本次事件并分析。
涉及对象
黑客地址:
社交媒体应用程序MeWe宣布采用基于Polkadot的Frequency区块链:金色财经报道,社交媒体应用程序MeWe宣布正在采用基于Polkadot的Frequency区块链,为其2000万用户带来基于区块链的自主权身份。这种整合将使MeWe的用户能够控制他们的身份数据,并控制他们在不同应用程序上的隐私设置。
Frequency是Polkadot区块链的平行链,与Polkadot主链以及其他平行链兼容。平行链向Polkadot支付综合租赁费,通常使用从其社区收集的资金,而不是对每个区块收取费用。据Frequency称,这提高了系统的可扩展性和稳定性。因此,Frequency区块链可以较为高效的处理社交媒体应用程序中的大量请求。[2023/4/27 14:29:22]
0xDFD78a977c08221822F6699AD933869Da6d9720C
DFG已为Efinity众贷贡献50万DOT:官方消息,波卡生态第5个平行链卡槽拍卖已于2021年12月9日正式开启,DFG再次贡献出其所持有的DOT为旗下波卡生态基金所投资的项目提供支持。此次,DFG作为Efinity的领投机构,为其参与波卡平行链卡槽拍卖众贷活动再次贡献出30万DOT,加上在之前众贷活动中支持Efinity的20万DOT,DFG已总计为Efinity贡献出50万DOT。
据悉,Efinity是构建在波卡上的次世代数字资产区块链,由Enjin团队一手打造,该团队曾在以太坊上创建ERC-1155的NFT标准。Efinity致力于创造一个对NFT开发者和用户都更加友好的全新生态,通过与波卡合作,Efinity将能够提供一个可访问、可扩展的解决方案,使每个人都可以参与新兴的NFT经济。以终端用户为中心,Efinity将为所有人提供一个有趣、简单、可访问的用户体验,成为专门为NFT而设计的下一代区块链。[2021/12/13 7:36:38]
攻击合约地址:
DOT跌破37美元关口 日内跌幅为3.79%:火币全球站数据显示,DOT短线下跌,跌破37美元关口,现报36.9866美元,日内跌幅达到3.79%,行情波动较大,请做好风险控制。[2021/5/19 22:18:28]
0x33f9bB37d60Fa6424230e6Cf11b2d47Db424C879
受害合约地址:
0x16fd050f05f8fc361cf9083aa3f624a2bf7e914d0xbfca3b1df0ae863e966b9e35b9a3a3fee2ad8b07
攻击涉及主要函数分析
BiKi余币宝上线DOT定期理财:据BiKi官网,平台余币宝专业版将于12月11日00:00(GMT+8)上线DOT定期理财,最低10DOT即可参与,总额度10万DOT,理财收益活动结束后还本付息发放,募集将于12月15日24:00(GMT+8)截止。
“BiKi 余币宝专业版”是区块链资产收益类投资理财产品,为用户制定稳定且持续收益的懒人理财方式。对于热门项目将设置最低门槛和持仓要求,优先为BiKi用户提供实惠,增添稳定收益渠道。[2020/12/11 14:57:17]
分析交易哈希
0x68170a309ab2e944e178ccf9bf6f19e25a3f356031ce53539bb9669fc77172f2
swap函数
1.整个交易都始于PancakePairswap函数
2.为攻击提供资金支持
getreward函数
1.使用balanceOf(address(this))获取CAKE代币余额
2.通过CAKE代币余额来铸造奖励
简要过程及原理分析
1.黑客使用PancakeSwap闪电贷获得初始资金100Cake代币;
2.通过将Cake代币打入VaultPinkBNB合约,来影响getReward函数获取合约Cake代币真实值,同时performanceFee参数受Cake代币真实值影响数值巨大;
3.最后mintFor函数使用受影响的performanceFee参数向黑客铸造大量pink代币奖励;
总结
此次攻击属于PancakeBunny同类型的攻击事件,迄今为止此类攻击事件已发生多次,知道创宇区块链安全实验室再次提醒,近期BSC链上频频爆发攻击事件,合约安全愈发需要得到迫切重视,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。