月亮链 月亮链
Ctrl+D收藏月亮链

SAFE:SafeDollar 归零 Polygon生态的“潘多拉魔盒”已打开?_POL

作者:

时间:1900/1/1 0:00:00

一、事件概览

北京时间6月28日,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,Polygon生态算法稳定币项目SafeDollar遭到黑客攻击。攻击事件发生后,SafeDollar项目所发行的稳定币(SDO)价格从1.07美元,瞬间跌至归零。

有消息指出,一份未经证实的合约抽走了25万美元的USDC和USDT;后经Rugdoc.io分析证实,此次攻击事件中黑客总共获利价值25万美元的USDC和USDT。随后,SafeDollar项目方发布公告,要求投资者停止所有与SDO相关的交易。目前,SDO交易已暂时中止。

鉴于此次攻击事件所具备的标志意义,成都链安·安全团队第一时间介入分析。继5月初BSC(币安智能链)诸多链上项目频频被黑之后,6月末Polygon生态也开始被黑客盯上,“潘多拉魔盒”是否已经悄然开启?借此事件,成都链安通过梳理攻击流程和攻击手法,提醒Polygon生态项目加强安全预警和防范工作。

多签钱包MSafe完成500万美元种子轮融资,Jump Capital领投:金色财经报道,基于Aptos的钱包Momentum Safe(MSafe)筹集了500万美元的种子资金,由Jump Capital领导,此轮融资的参与者包括Superscrypt、Circle Ventures、Coinbase Ventures和Shima Capital等。

MSafe首席执行官Wendy Fu曾是Meta的加密货币支付钱包Novi的工程师。[2023/1/5 10:23:52]

二、事件分析

此次攻击事件中,攻击者利用PLX代币转账时实际到账数量小于发送数量以及SdoRewardPool合约抵押和计算奖励上存在的逻辑缺陷,借助“闪电贷”控制SdoRewardPool合约中抵押池的抵押代币数量,进而操纵奖励计算,从而获得巨额的SDO奖励代币,最后使用SDO代币将SDO-USDC和SDO-USDT两种兑换池中USDC和USDT全部兑换出来。

ChainSafe 完成 1875 万美元 A 轮融资,Round13 领投:10月18日消息,Web3 基础设施公司 ChainSafe 完成 1875 万美元 A 轮融资,Round13 领投,参投方包括 NGC Ventures、HashKey、Sfermion、Jsquare、ConsenSys、Digital Finance Group 和 Fenbushi Capital 等。

ChainSafe 是一家加拿大公司,目前专注于多链研发和区块链游戏。ChainSafe 表示,这笔资金将用于支持 Web3 技术的发展和采用。(Cointelegraph )[2022/10/18 17:31:00]

攻击者地址:

0xFeDC2487Ed4BB740A268c565daCdD39C17Be7eBd

WBF交易所今日于“小目标”专区上线DUCK、SAFEMARS等12个币种:据官方消息, 新加坡WBF交易所5月11日于“小目标”专区上线12个币种:MC、DUCK、BONFIRE、BZZ、SPORE、PUPCOIN、DOG 、SHIT、SAFEMARS、INNBC、PEPPA、HOGE, 小目标专区5月9日上线币种PIG截止今日累计涨幅已超20倍。

WBF致力于打造全球币种最全、注册用户最多、客户体验最好、技术架构最稳定和最安全的数字金融服务平台。截至当前,WBF交易所已上线小目标、动物园、NFT、DeFi、波卡、灰度、掘金、BSC 等各大交易专区, 全球真实注册用户突破550万,同期最高日活达24万。[2021/5/11 21:48:54]

攻击合约:

0xC44e71deBf89D414a262edadc44797eBA093c6B0

SafePal钱包宣布支持针对TRX持有者的JST空投计划:据官方消息,SafePal钱包宣布支持针对TRX持有者的JST空投计划。SafePal 是 Binance Labs 投资的硬件钱包项目,致力于为加密货币用户提供一个安全、易用、方便、性价比高的钱包,让用户随时随地安全快捷地交易,保护用户资产安全和隐私。JUST是在波场TRON上运行的第一个DeFi项目,旨在打造基于波场TRON的稳定币借贷平台,同时也是全球领先数字交易平台、交易量曾登顶全球Top3的Poloniex LaunchBase首期上线项目。JUST是一个双代币系统。第一个代币USDJ是按1:1的汇率与美元挂钩的稳定币,是通过JUST的CDP门户抵押TRX产生的。第二个代币JST,可用于支付利息,平台维护,通过投票参与治理以及JUST平台上的其他活动。[2020/5/29]

0x358483BAB9A813e3aB840ed8e0a167E20f54E9FB

MaidSafeCoin:MaidSafeCoin (MAID)动态:1.目前正在扩充市场推广团队。2.团队已发布安全认证器和API。[2017/12/9]

攻击交易:

0xd78ff27f33576ff7ece3a58943f3e74caaa9321bcc3238e4cf014eca2e89ce3f

0x4dda5f3338457dfb6648e8b959e70ca1513e434299eebfebeb9dc862db3722f3

0x1360315a16aec1c7403d369bd139f0fd55a99578d117cb5637b234a0a0ee5c14

以下分析基于以下两笔交易:

攻击者首先使用PolyDex的WMATIC和WETH池进行PLX借贷,如下图所示:

接下来,攻击者通过攻击合约反复进行抵押提取,主要是为了减少SdoRewardPool合约中SDO抵押池中的抵押代币数量。

PLX代币合约进行代币转移时,如果from地址不在_isExcludedFromFee列表中,并且to地址也不在_isExcludedToFee列表中,会对转移的代币收取一次奖励基金以及销毁本次转移代币数量的0.05%。

而在SdoRewardPool合约中,记录的数量为调用者所转移的数量,没有减去转移过程中损耗的部分,在进行提取操作时,提取的数量为记录的数量,超出了用户实际抵押到本合约的数量,故会造成该抵押池中抵押代币的异常减少。

攻击者事先通过攻击合约

(0x358483BAB9A813e3aB840ed8e0a167E20f54E9FB)在该抵押池中抵押214.235502909238707603 PLX,在攻击合约

(0xC44e71deBf89D414a262edadc44797eBA093c6B0)攻击完成后,控制攻击合约

(0x358483BAB9A813e3aB840ed8e0a167E20f54E9FB)在该抵押池中进行奖励领取,由于SdoRewardPool合约中更新抵押池信息时使用的是balanceOf函数获取本合约中抵押代币数量,故获取到的数量是恶意减少之后的数量,继而造成PLX抵押池中accSdoPerShare变量异常增大,从而获取到巨额的SDO代币奖励。

最后利用获取到的SDO代币将SDO-USDC和SDO-USDT两种兑换池中USDC和USDT全部兑换出来。

三、事件复盘

事实上,此次攻击事件并不复杂,但是值得引起注意。首先添加抵押池时添加了非标准代币,再加上计算奖励时使用了balanceOf函数进行抵押代币数量的获取,所以导致了此次攻击事件的发生。

从安全审计的角度看,项目方作为添加抵押池的管理员,对于将要添加的抵押池中的抵押贷币,一定要三思而后行。通胀通缩类以及转移数量与实际到账数量不同的代币,不建议作为抵押池的抵押代币;如果因业务需要一定要添加这些类型的代币作为奖励代币,务必与其他标准代币分开处理。同时在抵押池中建议使用一个单独的变量作为抵押数量的记录,然后计算奖励时,使用通过此变量来获取抵押代币数量,而不是使用balanceOf函数。

另外,此次攻击事件对于Polygon生态链上项目而言,是否会是一个“危险信号”,Polygon生态的“潘多拉魔盒”是否会就此打开,这还需要观望后续态势发展。不过,回望5月,BSC生态发生第一起闪电贷攻击之后,便就此拉开了“BSC黑色五月”序幕。鉴于前车之鉴,成都链安在此提醒,Polygon生态链上项目未雨绸缪,切实提高安全意识!

标签:SAFESDOUSDPOLSAFENAMIWSDOGEGUSDT币ethicalsiliconpolice

以太坊价格热门资讯
比特币:比特币存在能源问题吗?(上)_FIN

「介绍」2017年底,比特币经历了价格暴涨,在2017年12月突破1.9万美元,随后在2018年2月迅速下跌至6000美元.

1900/1/1 0:00:00
USD:USDC被定义为高风险 Circle高透明是纸上谈兵?_CLE

自2021年年初以来,稳定币市场开始发力,其总发行量开始摆脱横盘模式,开启了“爬坡式”猛涨。一直处于万年老二的USDC也开始多链冲锋,根据USDC公告草案,预计在未来几个月内,USDC将在Ava.

1900/1/1 0:00:00
数字人:雄安、成都数字人民币活动的创新和问题思考_区块链工程专业学什么及就业方向

移动支付网消息:近日,数字人民币的试点活动再次拉开,雄安、成都两地先后公布了以“出行”为主题的数字人民币新活动,而这一次的活动和以往的数字人民币红包有一些不同之处,我们一起来看看具体有哪些不同.

1900/1/1 0:00:00
加密货币:英国出手封杀数字货币交易所币安_PRE

加密货币正受到全球范围内的更多监管打击,合规化运营希望渺茫。英国市场金融行为监管局(FCA)6月25日表示,币安不得在英国开展任何受FCA监管的金融业务,不得向个人客户提供贷款业务.

1900/1/1 0:00:00
比特币:对虚拟货币打出更严监管“组合拳” 比特币价格徘徊低点_比特币价格曲线图

近日,北京市地方金融监督管理局和中国人民银行营业管理部联合发布关于防范虚拟货币交易活动的风险提示,郑重警告辖内相关机构,不得为虚拟货币相关业务活动提供经营场所、商业展示、营销宣传、付费导流等.

1900/1/1 0:00:00
DEF:DeFi聚合收益平台发展的现状与风险_PINETWORKDEFI币

在过去一年,DeFi生态经历了爆炸式的发展,Uniswap、MakerDAO、AAVE、Curve等协议已经成为了加密市场中的庞然大物和不可缺失的基础.

1900/1/1 0:00:00