DOGE:黑客四连击：Wiener DOGE, Last Kilometer, Medamon以及PIDAO项目被攻击事件分析_NEWDOGE

据CertiK安全团队监测，, Wiener DOGE项目于北京时间2022年4月24日下午4时33分被恶意利用，造成了3万美元（折合人民币约12.6万）的损失。攻击者利用WDODGE的收费机制和交换池之间的不一致，发起了攻击。

事件发生的根本原因是：通过紧缩的代币合约造成发送方的LP对没有被排除在转账费用之外。因此，攻击者能够将LP对中的通货紧缩代币耗尽，进而导致货币对价格失衡。

而随后于同一天接连发生了另外三起恶意利用：

同天下午6时20分，Last Kilometer项目被闪电贷攻击利用，造成了26495美元（折合人民币约17万）的损失；

Tether CTO：AI可提高黑客的能力，不要选择太简单的密码:6月19日消息，Tether首席技术官Paolo Ardoino在推特上发布提示称，“人工智能可以提高恶意黑客的能力，以减少暴力破解字典的大小，学习和推导你的个人偏好。选择密码时不要太明显。”[2023/6/19 21:47:22]

同天晚上9时45分，Medamon项目被闪存贷攻击利用，造成3159美元（折合人民币约2万）的损失；

紧接着， PI-DAO项目被闪存贷攻击利用，造成了6445（折合人民币约4万）美元的损失。

安全公司：黑客正在对MetaMask等主流钱包进行“模态网络钓鱼”攻击:金色财经报道，安全公司CertiK在社交媒体披露，黑客正在对MetaMask等主流钱包进行“模态网络钓鱼”攻击，通过将网络钓鱼消息发送到被识别为合法去中心化应用程序 (dApp) 的移动钱包控制非托管钱包的“模态窗口”，以引诱其所有者批准错误的交易，用户可能会认为他或她正在通过MetaMask钱包批准“安全更新”。 CertiK团队提醒并强调，用户应该对每一个未知的交易请求都非常谨慎，甚至持怀疑态度——即使是那些被标记为安全升级的请求。[2023/4/14 14:03:02]

这一系列攻击的攻击者与攻击方法，与同一天早些时候发生的Wiener DOGE相同。

Origin官方：目前黑客钱包中还有7137枚ETH、224.9万枚DAI:今日区块链项目Origin Protocol受到黑客闪电贷攻击，13：15左右，Origin Protocol联合创始人Matthew Liu更新信息称，团队在采取措施以追回资金，包括和交易所以及其他第三方合作，以此识别出黑客（地址），对资金进行冻结。黑客使用Tornado Cash和renBTC来和转移资金，目前，还有7137枚ETH和224.9万枚DAI留在黑客钱包中。

此前，Origin官方曾提醒用户不要在Uniswap或者Sushiswap上购买OUSD，官方还称黑客技术卓绝，愿意聘请其为安全顾问，如果黑客全额归还资金，将不对其进行追踪也不采取法律措施。[2020/11/17 21:03:22]

攻击者通过闪电贷获得了2900枚BNB。

警惕KuCoin黑客正利用Uniswap出货砸盘:据PeckShield旗下资产追踪平台CoinHolmes数据显示，自09月27日下午3时以来，CoinHolmes监控到标记为KuCoin黑客的多个地址，正持续将盗取的大量OCEAN代币转入去中心化交易所Uniswap进行砸盘出货，PeckShield安全人认为，黑客此举很可能对OCEAN关联交易对价格产生较大幅度波动影响，建议在OCEAN提供了流动性的LP尽快移除相关流动性。据悉，KuCoin被盗资产目前经中心化交易所会面临较大的封堵压力，因此黑客正尝试通过去中心化交易所进行。[2020/9/27]

攻击者将2900枚BNB换成了6,638,066,501,83枚WDOGE

WdogE : 199,177,850,468

WBNB: 2978

LP的状态：

将5,974,259,851,654枚WDOGE发送到LP，由于WDOGE比BNB多，所以LP现在处于不平衡状态。

WDOGE : 5,178,624,112,169

WBNB : 2978

调用skim()函数，从LP中取回4,979,446,261,701枚WDOGE。由于攻击者在调用skim()之前发送了大量的WDOGE，所以LP将支付大量的费用。这一操作清空了LP内的WDOGE的数量。

攻击者还调用可sync()函数来更新LP内的储备值。若干枚WDOGE和2978枚BNB的存在，造成了WDOGE的价格与WBNB相比异常昂贵。

5. 最后，攻击者用剩下的WDOGE换回了2978枚BNB，偿还了闪电贷，赚取了78枚BNB。

而其他几个项目被攻击的流程步骤也相似：

闪电贷取得WBNB，并用WBNB换取LP中的通缩代币；

直接将通缩的代币转移到LP对上；

调用skim()函数，迫使LP对输回通缩代币；

由于转让费的存在，攻击者会重复步骤2~3，将LP对中的通缩代币耗尽；

通过LP对中的价格不平衡来获取利润。

当用户（或LP）转移一定数量的WDOGE时，除了费用，还有4%的代币将被销毁。

因此，如果LP发送100枚WDOGE，其余额将减少104枚WDOGE。

所以，LP应该被排除在费用和代币销毁之外。

CertiK审计专家认为：如果同时对代币和LP合约进行审计，这个漏洞就可能被发现。然而，如果只有代币合约被审计，那么交换机制将被视为一个外部依赖。而这种情况在审计过程中将会指出第三方依赖风险。具体为：如果是代币合约，CertiK审计专家将会与项目方讨论，确认是否需要除去LP对的手续费；如果是LP对方的合约，CertiK审计专家会提出通缩币的讨论，并且提醒项目方可能存在的风险。

作为区块链安全领域的领军者，CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止，CertiK已获得了3200家企业客户的认可，保护了超过3110亿美元的数字资产免受损失。

标签：DOGEDOGWDOWDOGEAIDOGE币CEODOGEWDO价格NEWDOGE

Uniswap热门资讯