月亮链 月亮链
Ctrl+D收藏月亮链

BNB:遭受价格操控攻击损失约73万美元:bDollar被攻击事件分析_BDO

作者:

时间:1900/1/1 0:00:00

2022年5月21日,成都链安链必应-区块链安全态势感知平台舆情监测显示, bDollar项目遭受价格操控攻击,攻击者获利2381WBNB(价值约73万美元)。成都链安技术团队第一时间对事件进行了分析,结果如下。

#1 项目相关信息

ThreeBody项目遭受闪电贷攻击,官方社交媒体账号早已不活跃:1月12日消息,据CertiK监测,ThreeBody项目遭受一次闪电贷攻击,被盗资金总额约为3000美元。自2021年11月以来,该项目在推特上一直不活跃,官方Telegram也被删除。

BSC合约地址为0x24c78E5ddf7576F6e0bC6BE9C4Db0FB043E34624。[2023/1/12 11:08:01]

由 Bearn.fi 提供的 bDollar 是币安智能链上的第一个算法稳定币,它可以确定性地调整其供应量,将代币的价格向目标价格方向移动,从而为 DeFi 带来可编程性和互操作性。

DR/VRS项目的Discord遭受攻击:12月22日消息,据CertiK监测,DR/VRS项目的Discord遭受攻击,请勿点击其Discord发布的任何链接。[2022/12/22 22:00:50]

#2 事件相关信息

攻击交易

0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4

攻击者地址

0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e

安全公司:AurumNodePool合约遭受漏洞攻击简析:金色财经报道,据区块链安全审计公司Beosin EagleEye监测显示,2022年11月23日,AurumNodePool合约遭受漏洞攻击。

Beosin分析发现由于漏洞合约的changeRewardPerNode函数未进行验证,导致攻击者可以调用该函数进行任意值设置。

攻击者首先调用changeRewardPerNode函数将每日奖励值设置成一个极大数,接下来调用claimNodeReward函数提取节点奖励,而节点奖励的计算取决于攻击者设置的rewardPerDay值,导致计算的节点奖励非常高。而在这一笔交易之前,攻击者便通过一笔交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合约存入了1000AUR,创建了攻击者的节点记录,从而使得攻击者能够提取出该节点奖励。最终攻击者通过该漏洞获得约50个BNB($14,538.04)。[2022/11/23 8:01:04]

攻击合约

动态 | Electrum遭受攻击导致资金被盗:比特币钱包服务公司Electrum遭受黑客攻击,导致用户资金损失。针对此次攻击事件,Beosin成都链安作出分析:这次钱包Electrum被攻击,主要是因为使用的kivy框架使用的是标准的py编译器并且钱包没有做防二次打包的保护,核心文件可直接反编译回py文件。攻击者可以仿照代码的方式,直接加入窃取用户密码、秘钥的代码二次打包后,同时再配合其他攻击,诱惑用户安装被植入恶意代码的钱包,从而窃取到用户的密码、秘钥等敏感信息。[2019/4/9]

0x6877f0d7815b0389396454c58b2118acd0abb79a

被攻击合约

0xeaDa3d1CCBBb1c6B4C40a16D34F64cb0df0225Fd

1、通过闪电贷借出670WBNB。

2、 将其分成多份分别转入到WBNB/BDO、BUSD/BDO等多个池子进行兑换,拉高BDO的价格。

3、攻击者接着借出30,516 cake用于后续攻击:调用DAO Fund合约中的claimAndReinvestFromPancakePool函数,该函数将cake兑换成400个wbnb,且触发了200WBNB兑换BDO,然而最后会调用_addLiquidity,用合约中的WBNB去添加流动性。此时由于BDO价格很高,导致添加流动性时需要使用项目方合约中大量的WBNB,相当于项目方高位接盘。

4、最后攻击者通过pancake兑换出WBNB,归还闪电贷,获利2381 WBNB。

本次攻击主要利用了DAO fund代理合约CommunityFund中claimAndReinvestFromPancakePool函数在添加流动性时的设计漏洞,未充分考虑到价格被恶意拉高后,项目方会在添加流动性时,用自己合约内的资金被动高位接盘的情况。

截止发文时,被盗资金还未被攻击者转出,仍存在攻击合约中:0x6877F0D7815b0389396454C58b2118ACD0aBB79A。

针对本次事件,成都链安技术团队建议:

1、合约在设计时应充分考虑可能遇到的攻击,尽量完善其安全设计;

2、项目上线前,建议选择专业的安全审计公司进行全面的安全审计,规避安全风险。

标签:BNBWBNBBDOCAKE游戏bnb几个女主WBNB币BDOGE币Infinity Cake

POL币最新价格热门资讯
ETH:为什么DeFi期权协议普遍发展不佳?_DeFi Degen Land

如果你以前读过任何关于期权的文章,现在可能知道TradFi中的期权问题严重。事实上,在美国,通过日常期权交易所代表的股票名义价值已经超过了去年的现货,这是有史以来第一次.

1900/1/1 0:00:00
比特币:金色前哨 | 机构入局正当时:高盛重启加密货币交易柜台_OIN

停滞三年后,高盛计划重新启动其比特币交易柜台业务,并计划从3月中旬开始再次支持比特币期货交易和无本金交割远期外汇交易(NDF).

1900/1/1 0:00:00
ETH:ETH短线不破持有_AI Crypto

美SEC主席曾于2018年称“BTC、ETH、LTC和BCH不是证券”:金色财经报道,一段视频显示,美国证券交易委员会(SEC)主席Gary Gensler曾于2018年告诉机构投资者.

1900/1/1 0:00:00
SEC:泰国区块链证券将合法?听听SEC高官怎么说_SETS价格

泰国政府正采取行动,允许区块链证券在国内的发行和交易。据《曼谷邮报》(Bangkok Post)上周五的一份报道,泰国国会通过了一项对《证券交易法》(Securities and Exchang.

1900/1/1 0:00:00
以太坊:金色前哨丨中国矿工绕过英伟达3060显卡算力限制_RTX

以太坊挖矿的超高利润,已经影响到电子消费产品显卡用户。甚至逼得显卡生产商不得不采取措施。3月6日,芯片巨头英伟达(Nvidia)宣布其旗下的高端显卡RTX 3080 Ti和RTX 3070 Ti.

1900/1/1 0:00:00
区块链:淘汰“挖矿”_ECIO Space

中央纪委国家监委网站 柴雅欣报道 虚拟货币“挖矿”活动已被正式列为淘汰类产业。国家发改委网站近日发布消息,《国家发展改革委关于修改〈产业结构调整指导目录(2019年本)〉的决定》已审议通过.

1900/1/1 0:00:00