DOG:黑客四连击，近期项目被攻击事件分析_WDOGE

北京时间2022年4月24日下午4时33分，CertiK审计团队监测到Wiener?DOGE项目被恶意利用，造成了3万美元的损失。攻击者利用WDODGE的收费机制和交换池之间的不一致，发起了攻击。

事件发生的根本原因是：通过紧缩的代币合约造成发送方的LP对没有被排除在转账费用之外。因此，攻击者能够将LP对中的通货紧缩代币耗尽，进而导致货币对价格失衡。

而随后于同一天内接连发生了另外三起恶意利用：

下午6时20分，LastKilometer项目被闪电贷攻击利用，造成了26495美元的损失；

FBI参与调查Harmony跨链桥黑客攻击事件:金色财经报道，由Layer1公链Harmony开发的以太坊与Harmony链间资产跨链桥Horizon遭到攻击后，Harmony在其官方社交媒体账户上披露，美国联邦调查局（FBI）和多家网络安全公司将参与调查本次事件。Horizon 跨链桥允许用户在以太坊、币安智能链 (BSC) 和 Harmony 区块链之间交换代币、稳定币和 NFT 等资产。Harmony 在另一条推文中表示，该漏洞并未影响其比特币跨链桥，并且存储在分散式保险库中的资金和资产“目前是安全的”。[2022/6/25 1:30:21]

晚上9时45分，Medamon项目被闪存贷攻击利用，造成3159美元的损失；

金色财经现场报道 全球区块链加速计划及全球黑客马拉松开幕仪式正式开启:5月3日晚，全球区块链加速计划及全球黑客马拉松开幕仪式在新加坡Republic Plaza 共和大厦正式开启，Node Capital的Maggie Lin对此次开幕仪式进行致辞，Maggie Lin表示，Node Capital致力于完善区块链生态，从布局底层公链到投资应用层，区块链技术解决方案、数字资产交易存储、媒体资讯等，推动区块链技术的发展和普及。[2018/5/3]

紧接着，PI-DAO项目被闪存贷攻击利用，造成了6445美元的损失。

黑客获得比特币黄金（BTG）钱包的Github存储库访问权限 :据了解，BTG发送了一个重要警告，称部分Windows版本的Github中存在一个可疑的原始文件。BTG警告用户:“除非我们了解这个文件的作用，否则所有的用户都应该假定这个文件是恶意的，可以窃取加密货币和/或用户信息。虽然该文件不会触发反病/反恶意软件软件，但不要认为该文件是安全的。”[2017/11/27]

这一系列攻击的攻击者与攻击方法，与同一天早些时候发生的WienerDOGE相同。

攻击步骤

①攻击者通过闪电贷获得了2900枚BNB。

②攻击者将2900枚BNB换成了6,638,066,501,83枚WDOGE。

●LP的状态：

??○WdogE:199,177,850,468

??○WBNB:2978

③将5,974,259,851,654枚WDOGE发送到LP，由于WDOGE比BNB多，所以LP现在处于不平衡状态。

●LP的状态：

??○?WDOGE:5,178,624,112,169

??○?WBNB:2978

④调用skim()函数，从LP中取回4,979,446,261,701枚WDOGE。由于攻击者在调用skim()之前发送了大量的WDOGE，所以LP将支付大量的费用。这一操作清空了LP内的WDOGE的数量。

攻击者还调用可sync()函数来更新LP内的储备值。若干枚WDOGE和2978枚BNB的存在，造成了WDOGE的价格与WBNB相比异常昂贵。

⑤最后，攻击者用剩下的WDOGE换回了2978枚BNB，偿还了闪电贷，赚取了78枚BNB。

而其他几个项目被攻击的流程步骤也相似：

闪电贷取得WBNB，并用WBNB换取LP中的通缩代币；

直接将通缩的代币转移到LP对上；

调用skim()函数，迫使LP对输回通缩代币；

由于转让费的存在，攻击者会重复步骤2~3，将LP对中的通缩代币耗尽；

通过LP对中的价格不平衡来获取利润。

漏洞分析

当用户转移一定数量的WDOGE时，除了费用，还有4%的代币将被销毁。

因此，如果LP发送100枚WDOGE，其余额将减少104枚WDOGE。

所以，LP应该被排除在费用和代币销毁之外。

写在最后

如果同时对代币和LP合约进行审计，这一风险因素就可以被发现。

然而，如果只有代币合约被审计，那么交换机制将被视为一个外部依赖。

而这种情况在审计过程中将会指出第三方依赖风险。具体为：如果是代币合约，CertiK审计专家将会与项目方讨论，确认是否需要除去LP对的手续费；如果是LP对方的合约，CertiK审计专家会提出通缩币的讨论，并且提醒项目方可能存在的风险。

标签：DOGDOGEWDOWDOGEMOLLYDOGELDOGE价格WDO币towdogecoin

币赢热门资讯