据CertiK安全团队监测,,WienerDOGE项目于北京时间2022年4月24日下午4时33分被恶意利用,造成了3万美元的损失。攻击者利用WDODGE的收费机制和交换池之间的不一致,发起了攻击。
事件发生的根本原因是:通过紧缩的代币合约造成发送方的LP对没有被排除在转账费用之外。因此,攻击者能够将LP对中的通货紧缩代币耗尽,进而导致货币对价格失衡。
而随后于同一天接连发生了另外三起恶意利用:
同天下午6时20分,LastKilometer项目被闪电贷攻击利用,造成了26495美元的损失;
同天晚上9时45分,Medamon项目被闪存贷攻击利用,造成3159美元的损失;
Web3电子学习平台JetLearn收购K-12黑客松组织SchoolHacks:12月9日消息,Web3电子学习平台JetLearn宣布收购K-12黑客松组织SchoolHacks,具体收购金额暂未披露。
据悉,SchoolHacks总部位于硅谷,专门组织学龄学生设计的黑客马拉松,本次收购或将JetLearn面向中小学学龄儿童的Web3在线学院与SchoolHacks联系起来。[2022/12/9 21:33:04]
紧接着,PI-DAO项目被闪存贷攻击利用,造成了6445美元的损失。
这一系列攻击的攻击者与攻击方法,与同一天早些时候发生的WienerDOGE相同。
DeFi借贷协议Moola Market遭黑客攻击,损失840万美元:金色财经报道,北京时间10月19日凌晨,基于Celo网络的去中心化金融 (DeFi) 借贷协议Moola Market在遭遇840万美元的黑客攻击后暂停运营。
根据The Block团队的分析,利用者使用了来自币安的243,000个CELO代币,然后将60,000个CELO借给Moola,借入180万个MOO作为抵押品。利用剩余的CELO抬高MOO的价格,并继续使用借来的MOO将其用作抵押品并借入所有其他代币。攻击者获得了880万CELO(价值650万美元)、765,000 cEUR(价值70万美元)、180万MOO(价值60万美元)和644,000 cUSD(价值60万美元)。
Moola Market表示,其团队正在积极调查此事件,平台上的所有活动均已暂停。同时,Moola建议用户不要交易相关代币。[2022/10/19 17:31:32]
WienerDOGE攻击流程
Cobra:推特黑客为比特币营销所做贡献比所有大V加起来还要多:7月16日,针对很多名人推特被黑并发布数字货币钓鱼局一事,Bitcoin.org网站共同所有者Cobra发推称,这些黑客为比特币营销所做的贡献,比那些所有有推特影响力的人加起来还要多。[2020/7/16]
攻击者通过闪电贷获得了2900枚BNB。
攻击者将2900枚BNB换成了6,638,066,501,83枚WDOGE
WdogE:199,177,850,468
WBNB:2978
LP的状态:
将5,974,259,851,654枚WDOGE发送到LP,由于WDOGE比BNB多,所以LP现在处于不平衡状态。
疑似朝鲜APT黑客盯上数字货币 专家称谨防不明邮件附件:·12日晚间消息,近日腾讯御见威胁情报中心监测到,疑似朝鲜的黑客组织Lazarus再度活跃,利用最新Flash漏洞CVE-2018-4878频繁发起攻击,对象主要为数字货币交易所。腾讯电脑管家安全专家马劲松表示,“虽然该攻击目前尚未在我国发现,但国内用户仍不可放松警惕”。据悉,Lazarus组织是来自朝鲜的APT(高级持续性威胁)组织,该组织长期对韩国、美国渗透攻击,还对全球的金融机构进行攻击。[2018/3/12]
WDOGE:5,178,624,112,169
WBNB:2978
LP的状态:
调用skim()函数,从LP中取回4,979,446,261,701枚WDOGE。由于攻击者在调用skim()之前发送了大量的WDOGE,所以LP将支付大量的费用。这一操作清空了LP内的WDOGE的数量。
攻击者还调用可sync()函数来更新LP内的储备值。若干枚WDOGE和2978枚BNB的存在,造成了WDOGE的价格与WBNB相比异常昂贵。
5.最后,攻击者用剩下的WDOGE换回了2978枚BNB,偿还了闪电贷,赚取了78枚BNB。
而其他几个项目被攻击的流程步骤也相似:
闪电贷取得WBNB,并用WBNB换取LP中的通缩代币;
直接将通缩的代币转移到LP对上;
调用skim()函数,迫使LP对输回通缩代币;
由于转让费的存在,攻击者会重复步骤2~3,将LP对中的通缩代币耗尽;
通过LP对中的价格不平衡来获取利润。
合约漏洞分析
当用户转移一定数量的WDOGE时,除了费用,还有4%的代币将被销毁。
因此,如果LP发送100枚WDOGE,其余额将减少104枚WDOGE。
所以,LP应该被排除在费用和代币销毁之外。
资产损失
审计的作用
CertiK审计专家认为:如果同时对代币和LP合约进行审计,这个漏洞就可能被发现。然而,如果只有代币合约被审计,那么交换机制将被视为一个外部依赖。而这种情况在审计过程中将会指出第三方依赖风险。具体为:如果是代币合约,CertiK审计专家将会与项目方讨论,确认是否需要除去LP对的手续费;如果是LP对方的合约,CertiK审计专家会提出通缩币的讨论,并且提醒项目方可能存在的风险。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。