月亮链 月亮链
Ctrl+D收藏月亮链
首页 > FTX > 正文

DOG:黑客四连击,近期项目被攻击事件分析-ODAILY_WDOG

作者:

时间:1900/1/1 0:00:00

北京时间2022年4月24日下午4时33分,CertiK审计团队监测到WienerDOGE项目被恶意利用,造成了3万美元的损失。攻击者利用WDODGE的收费机制和交换池之间的不一致,发起了攻击。

事件发生的根本原因是:通过紧缩的代币合约造成发送方的LP对没有被排除在转账费用之外。因此,攻击者能够将LP对中的通货紧缩代币耗尽,进而导致货币对价格失衡。

而随后于同一天内接连发生了另外三起恶意利用:

黑客组织Anonymous推出加密货币“Anon Inu”以对抗马斯克:黑客组织Anonymous据称发布了一段新视频,其中宣布了自己的加密货币“Anon Inu”。代币的目的是在 “meme战”中对抗马斯克。据介绍,这是一种具有各种内置实用程序的新DeFi社区代币。由于黑客组织的去中心化性质,目前尚不清楚它是否真的在以可疑的名义发行新代币。

此前消息,黑客组织Anonymous在Facebook页面上向其1100 万粉丝发布的一段视频称,特斯拉很有可能用政府补贴购买了比特币,并补充说:“现在人们普遍相信,为了让政府绿色资金流入特斯拉的金库,马斯克被迫放弃比特币。”(U.Today)[2021/7/16 0:57:08]

下午6时20分,LastKilometer项目被闪电贷攻击利用,造成了26495美元的损失;

动态 | 黑客攻击西班牙南部城市计算机系统并要求比特币付款:当地官员周五表示,黑客已经占领了西班牙南部城市赫雷斯·德拉弗龙特拉的计算机系统,黑客要求用比特币付款以恢复计算机系统,但没有说明要多少钱。市政发言人称,该网络攻击已导致通过该市网站提供的服务从周二晚上起中断。(techxplore)[2019/10/4]

晚上9时45分,Medamon项目被闪存贷攻击利用,造成3159美元的损失;

紧接着,PI-DAO项目被闪存贷攻击利用,造成了6445美元的损失。

这一系列攻击的攻击者与攻击方法,与同一天早些时候发生的WienerDOGE相同。

分析 | 黑客再次对今日上午攻击的某eos竞猜游戏发起攻击:Beosin成都链安态势感知安全预警:今日下午5:37开始,根据成都链安区块链安全态势感知系统Beosin-Eagle Eye监测发现,黑客yun*****hu向今日上午被攻击的某eos竞猜游戏再次发起攻击,目前已获利(yun*****hu ,wa2*****1g ,dsf*****dg三个账号为黑客关联账号,都进行过攻击)。

经过成都链安技术团队的初步分析,攻击者仍然采用的是交易阻塞的方式,持续对该游戏账号发起攻击。目前我们已与项目方取得联系,并且项目方已经开始进行安全排查。同时成都链安提醒各项目方提高警惕,加强安全规范,必要时可联系安全公司进行安全审计,避免不必要的资产损失。[2019/6/18]

攻击步骤

黑客获得比特币黄金(BTG)钱包的Github存储库访问权限 :据了解,BTG发送了一个重要警告,称部分Windows版本的Github中存在一个可疑的原始文件。BTG警告用户:“除非我们了解这个文件的作用,否则所有的用户都应该假定这个文件是恶意的,可以窃取加密货币和/或用户信息。虽然该文件不会触发反病/反恶意软件软件,但不要认为该文件是安全的。”[2017/11/27]

①攻击者通过闪电贷获得了2900枚BNB。

②攻击者将2900枚BNB换成了6,638,066,501,83枚WDOGE。

●LP的状态:

○WdogE:199,177,850,468

○WBNB:2978

③将5,974,259,851,654枚WDOGE发送到LP,由于WDOGE比BNB多,所以LP现在处于不平衡状态。

●LP的状态:

○WDOGE:5,178,624,112,169

○WBNB:2978

④调用skim()函数,从LP中取回4,979,446,261,701枚WDOGE。由于攻击者在调用skim()之前发送了大量的WDOGE,所以LP将支付大量的费用。这一操作清空了LP内的WDOGE的数量。

攻击者还调用可sync()函数来更新LP内的储备值。若干枚WDOGE和2978枚BNB的存在,造成了WDOGE的价格与WBNB相比异常昂贵。

⑤最后,攻击者用剩下的WDOGE换回了2978枚BNB,偿还了闪电贷,赚取了78枚BNB。

而其他几个项目被攻击的流程步骤也相似:

闪电贷取得WBNB,并用WBNB换取LP中的通缩代币;

直接将通缩的代币转移到LP对上;

调用skim()函数,迫使LP对输回通缩代币;

由于转让费的存在,攻击者会重复步骤2~3,将LP对中的通缩代币耗尽;

通过LP对中的价格不平衡来获取利润。

漏洞分析

当用户转移一定数量的WDOGE时,除了费用,还有4%的代币将被销毁。

因此,如果LP发送100枚WDOGE,其余额将减少104枚WDOGE。

所以,LP应该被排除在费用和代币销毁之外。

资产去向

写在最后

如果同时对代币和LP合约进行审计,这一风险因素就可以被发现。

然而,如果只有代币合约被审计,那么交换机制将被视为一个外部依赖。

而这种情况在审计过程中将会指出第三方依赖风险。具体为:如果是代币合约,CertiK审计专家将会与项目方讨论,确认是否需要除去LP对的手续费;如果是LP对方的合约,CertiK审计专家会提出通缩币的讨论,并且提醒项目方可能存在的风险。

标签:DOGDOGEWDOWDOGFDOGE价格SPACEDOGEwdo币价格NEWDOGE

FTX热门资讯
EOS:UmbNetwork奖励池攻击事件分析-ODAILY_bithumb交易所中文名

一、前言北京时间2022年3月21日,知道创宇区块链安全实验室监测到BSC链和以太坊上的UmbNetwork奖励池遭到黑客攻击,损失约70万美元。实验室第一时间对本次事件进行跟踪并分析.

1900/1/1 0:00:00
BIT:Bitfinex 一周简报(0418-0424)-ODAILY_FIN

Bitfinex行动使用程序已经上线Bitfinex借用功能4月23日消息,Bitfinex行动管理程序已经上线Bitfinex借用功能.

1900/1/1 0:00:00
GAM:一览GameFi前世今生及项目核心-ODAILY_Earn DeFi Coin

什么是GameFi由于区块链技术的兴起,金融方面从未像现在这样与游戏行业交织在一起。区块链游戏也被称为去中心化游戏,即GameFi——Game+DeFI.

1900/1/1 0:00:00
SAFUU:惯犯欺诈高危项目SAFUU协议已被CertiK安全排行榜除名-ODAILY_SAFU

CertiK在KYC过程中发现,SAFUU协议创始人与CleverDeFi及TagzExchange高风险项目相关.

1900/1/1 0:00:00
EST:Westend:波卡的永久测试网-ODAILY_kusama币未来会涨到多少

“波卡知识图谱”是我们针对波卡从零到一的入门级文章,我们尝试从波卡最基础的部分讲起,为大家提供全方位了解波卡的内容,当然这是一项巨大的工程,也充满了挑战.

1900/1/1 0:00:00
WEB:Web3.0的未来之路-ODAILY_web3.0币种在中国合法吗

“因为稀有才是珍贵的,而水是最便宜的,但最好的。”——柏拉图,《欧西德摩斯》30多年前,第一个网页是在欧洲核子研究中心所创建的,由TimBerners-Lee爵士和其他科学家想象构建.

1900/1/1 0:00:00