BNB:Bogged Finance攻击事件分析_柚子币eos最新真实消息

作者：

时间：1900/1/1 0:00:00

据官方tg群消息，北京时间5月22日晚BoggedFinance项目遭遇闪电贷攻击，随后BOG代币价格断崖式下跌。

知道创宇区块链

安全

实验室

第一时间跟进分析本次安全事件。

以造成本次闪电贷攻击的其中一笔交易为例，对应具体交易hash如下：0x47a355743456714d9abc23e1dff9e26430e38e84cc8b8e0a0b4ca475918f3475

快餐连锁店Jack in the Box与FTX US就吉祥物版权诉讼达成和解:1月21日消息，快餐连锁店Jack in the Box因涉嫌侵犯吉祥物相关版权和商标而对FTX US提起的诉讼在双方达成和解后已经结束。双方通知美国加利福尼亚州南区地方法院，他们已于1月20日通过撤案动议解决了纠纷，但和解的具体细节尚未披露。Jack in the Box最初于去年11月初提起诉讼，指控FTX US的“Moon Man”吉祥物的外观和行为剽窃Jack in the Box的吉祥物“Jack”，“Jack”吉祥物的商标权可以追溯到1995年。Jack in the Box最初寻求获得损害赔偿，涉及版权侵权、商标淡化、商标侵权、虚假原产地名称和不正当竞争等指控。（Cointelegraph）[2022/1/21 9:03:50]

黑客地址0x4622A1f3d05DcF5A0589c458136C231009B6A207通过攻击合约0xe576790f35A8cC854d45b9079259Fe84F5294e07进行闪电贷攻击，通过调用攻击合约中攻击函数，传入参数15000000000000000000000，通过BankController合约进行闪电借贷15000BNB，通过WBNB合约兑换后开始进行套利攻击。

动态 | Booking Holdings宣布退出Libra协会:经营Kayak.com和Priceline.com等网站的在线旅游公司Booking Holdings Inc表示正在退出Libra协会。据此前报道，继PayPal退出之后，万事达卡、Visa、Stripe、Mercado Pago和eBay也于上周五宣布退出Facebook的Libra项目。（彭博）[2019/10/15]

本次闪电贷攻击主要是由于BoggedFinance合约中_transferFrom函数中利用_txBurn函数出现逻辑漏洞，代币合约对所有交易应当收取5%的交易额作为交易费用来销毁，其中4%分红给lp提供者，1%被烧毁，但在_transferFrom函数中未校验转账地址，允许向自己转账，在自我转账的过程中，仅扣除1%手续费，而包括攻击者在内的lp提供者获得4%的分红奖励，所以攻击者可以通过添加大量流动性进行流动性挖矿，并且反复自我转账获利，最终移除流动性从而完成攻击过程。

声音 | Alexandre Bourget：跨链通信技术使EOS具有规模扩张的能力:EOS Canada 的 Alexandre Bourget 在全球EOS节点答疑的节目中称：“跨链通信（IBC），将来它的应用会非常广泛。举个例子，假如有一个公司愿意把他的公司网连接到EOS主网上，他们就可以把真的EOS发到他们的公司网上。利用自己的RAM，自己的空间存储，然后由自己管理，这样他们将会和EOS主网相连。假设还有其他75家公司的机构或组织，也通过这种方式和EOS相连，这将会产生巨大的计算能力。这一能力由不同的团体所掌管。如果人们想要使用某一组织或者机构背后的计算能力，也是可以的，前提是该机构或组织信任他们，并且有其他21人组成的团体能够在这样一个规模巨大的基础下实行管理。EOS所拥有的这种规模扩张的潜力是一件很令人激动的事！”[2018/8/21]

通过查看浏览器交易显示，攻击者在该笔交易中分4次将1298.20BNB、1489.05BNB、1707.95BNB、1959.03BNB在PancakeSwap中兑换为47770BOG，并用共计8434.07BNB和281174.22BOG在PancakeSwap的BNB-BOG池中添加流动性

如下图所示，攻击者在该笔交易中通过以下5笔交易将如下所示数量的WBNB与BOG添加流动性并将所获得的流动性代币进行抵押挖矿。

图1添加流动性并进行你抵押挖矿为多次转账准备

随后，攻击者通过攻击合约多次进行自我转账，进行获利。

图2反复自我转账

最后，攻击者通过Nerve

跨链

桥将它们分批次转换为

ETH

进行套现后移除流动性，返还闪电贷完成本次攻击。

图3移除流动性

图4返还闪电贷