2022年5月21日,成都链安链必应-区块链安全态势感知平台舆情监测显示, bDollar项目遭受价格操控攻击,攻击者获利2381WBNB(价值约73万美元)。成都链安技术团队第一时间对事件进行了分析,结果如下。
#1 项目相关信息
ThreeBody项目遭受闪电贷攻击,官方社交媒体账号早已不活跃:1月12日消息,据CertiK监测,ThreeBody项目遭受一次闪电贷攻击,被盗资金总额约为3000美元。自2021年11月以来,该项目在推特上一直不活跃,官方Telegram也被删除。
BSC合约地址为0x24c78E5ddf7576F6e0bC6BE9C4Db0FB043E34624。[2023/1/12 11:08:01]
由 Bearn.fi 提供的 bDollar 是币安智能链上的第一个算法稳定币,它可以确定性地调整其供应量,将代币的价格向目标价格方向移动,从而为 DeFi 带来可编程性和互操作性。
DR/VRS项目的Discord遭受攻击:12月22日消息,据CertiK监测,DR/VRS项目的Discord遭受攻击,请勿点击其Discord发布的任何链接。[2022/12/22 22:00:50]
#2 事件相关信息
攻击交易
0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4
攻击者地址
0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e
安全公司:AurumNodePool合约遭受漏洞攻击简析:金色财经报道,据区块链安全审计公司Beosin EagleEye监测显示,2022年11月23日,AurumNodePool合约遭受漏洞攻击。
Beosin分析发现由于漏洞合约的changeRewardPerNode函数未进行验证,导致攻击者可以调用该函数进行任意值设置。
攻击者首先调用changeRewardPerNode函数将每日奖励值设置成一个极大数,接下来调用claimNodeReward函数提取节点奖励,而节点奖励的计算取决于攻击者设置的rewardPerDay值,导致计算的节点奖励非常高。而在这一笔交易之前,攻击者便通过一笔交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合约存入了1000AUR,创建了攻击者的节点记录,从而使得攻击者能够提取出该节点奖励。最终攻击者通过该漏洞获得约50个BNB($14,538.04)。[2022/11/23 8:01:04]
攻击合约
动态 | Electrum遭受攻击导致资金被盗:比特币钱包服务公司Electrum遭受黑客攻击,导致用户资金损失。针对此次攻击事件,Beosin成都链安作出分析:这次钱包Electrum被攻击,主要是因为使用的kivy框架使用的是标准的py编译器并且钱包没有做防二次打包的保护,核心文件可直接反编译回py文件。攻击者可以仿照代码的方式,直接加入窃取用户密码、秘钥的代码二次打包后,同时再配合其他攻击,诱惑用户安装被植入恶意代码的钱包,从而窃取到用户的密码、秘钥等敏感信息。[2019/4/9]
0x6877f0d7815b0389396454c58b2118acd0abb79a
被攻击合约
0xeaDa3d1CCBBb1c6B4C40a16D34F64cb0df0225Fd
1、通过闪电贷借出670WBNB。
2、 将其分成多份分别转入到WBNB/BDO、BUSD/BDO等多个池子进行兑换,拉高BDO的价格。
3、攻击者接着借出30,516 cake用于后续攻击:调用DAO Fund合约中的claimAndReinvestFromPancakePool函数,该函数将cake兑换成400个wbnb,且触发了200WBNB兑换BDO,然而最后会调用_addLiquidity,用合约中的WBNB去添加流动性。此时由于BDO价格很高,导致添加流动性时需要使用项目方合约中大量的WBNB,相当于项目方高位接盘。
4、最后攻击者通过pancake兑换出WBNB,归还闪电贷,获利2381 WBNB。
本次攻击主要利用了DAO fund代理合约CommunityFund中claimAndReinvestFromPancakePool函数在添加流动性时的设计漏洞,未充分考虑到价格被恶意拉高后,项目方会在添加流动性时,用自己合约内的资金被动高位接盘的情况。
截止发文时,被盗资金还未被攻击者转出,仍存在攻击合约中:0x6877F0D7815b0389396454C58b2118ACD0aBB79A。
针对本次事件,成都链安技术团队建议:
1、合约在设计时应充分考虑可能遇到的攻击,尽量完善其安全设计;
2、项目上线前,建议选择专业的安全审计公司进行全面的安全审计,规避安全风险。
如果你以前读过任何关于期权的文章,现在可能知道TradFi中的期权问题严重。事实上,在美国,通过日常期权交易所代表的股票名义价值已经超过了去年的现货,这是有史以来第一次.
1900/1/1 0:00:00停滞三年后,高盛计划重新启动其比特币交易柜台业务,并计划从3月中旬开始再次支持比特币期货交易和无本金交割远期外汇交易(NDF).
1900/1/1 0:00:00美SEC主席曾于2018年称“BTC、ETH、LTC和BCH不是证券”:金色财经报道,一段视频显示,美国证券交易委员会(SEC)主席Gary Gensler曾于2018年告诉机构投资者.
1900/1/1 0:00:00泰国政府正采取行动,允许区块链证券在国内的发行和交易。据《曼谷邮报》(Bangkok Post)上周五的一份报道,泰国国会通过了一项对《证券交易法》(Securities and Exchang.
1900/1/1 0:00:00以太坊挖矿的超高利润,已经影响到电子消费产品显卡用户。甚至逼得显卡生产商不得不采取措施。3月6日,芯片巨头英伟达(Nvidia)宣布其旗下的高端显卡RTX 3080 Ti和RTX 3070 Ti.
1900/1/1 0:00:00中央纪委国家监委网站 柴雅欣报道 虚拟货币“挖矿”活动已被正式列为淘汰类产业。国家发改委网站近日发布消息,《国家发展改革委关于修改〈产业结构调整指导目录(2019年本)〉的决定》已审议通过.
1900/1/1 0:00:00
月亮链