DOG:黑客四连击：Wiener DOGE, Last Kilometer, Medamon以及PIDAO项目被攻击事件分析_DOGE

据CertiK安全团队监测，,WienerDOGE项目于北京时间2022年4月24日下午4时33分被恶意利用，造成了3万美元的损失。攻击者利用WDODGE的收费机制和交换池之间的不一致，发起了攻击。

事件发生的根本原因是：通过紧缩的代币合约造成发送方的LP对没有被排除在转账费用之外。因此，攻击者能够将LP对中的通货紧缩代币耗尽，进而导致货币对价格失衡。

而随后于同一天接连发生了另外三起恶意利用：

同天下午6时20分，LastKilometer项目被闪电贷攻击利用，造成了26495美元的损失；

同天晚上9时45分，Medamon项目被闪存贷攻击利用，造成3159美元的损失；

a16 Crypto首席安全官：黑客伪造“苹果公司”来电对大量Web3名人进行网络钓鱼攻击:11月26日消息，a16 Crypto首席安全官Nasse-nassyweazy.eth透露，目前有黑客伪造“苹果公司”电话对大量Web3名人进行网络钓鱼攻击。攻击者伪造来电显示为“Apple,Inc.”的号码并索取iCloud“恢复密码”，一旦得手就会窃取所有iCloud同步数据并要求受害者支付赎金。黑客还通过扫描文档/图片获取加密钱包助记词或密码，然后注册新地址转移和出售受害者钱包内全部有价值的加密资产并清空钱包。[2022/11/26 20:47:39]

紧接着，PI-DAO项目被闪存贷攻击利用，造成了6445美元的损失。

安全团队：以太坊上PEAKDEFI遭攻击，黑客获利约6.6万美元:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin?EagleEye 安全风险监控、预警与阻断平台监测显示，ETH链上的PEAKDEFI项目遭受攻击，攻击者利用合约中sellLeftoverToken()函数未进行权限校验。导致黑客合约中转走29832 BAT，5083 SUSHI，32508 matic，831 link，总价值66659美元。[2022/11/5 12:19:47]

这一系列攻击的攻击者与攻击方法，与同一天早些时候发生的WienerDOGE相同。

WienerDOGE攻击流程

动态 | 5月共发生9起黑客攻击事件，损失逾700万元:据PeckShield态势感知平台数据显示，过去一个月，TRON/EOS生态共计发生9起黑客攻击事件，共计损失资金逾700万元。整体而言：1、EOS生态发生2起较为严重的私钥被盗事件，损失超25,246个EOS; 2、TRON DApp生态发生5起交易回滚攻击事件，黑客尝试以合约广撒网扩散攻击范围，但此类攻击类似于“薅羊毛”，造成的损失相对较小；3、TronBankPro代码存后门事件引发了社区广泛讨论，第三方服务平台TSC存在较大嫌疑即为攻击者；4、此前攻击Cryptopia交易所的黑客于本月起开始密集，截至目前，已有5,067个ETH流入火币交易所。PeckShield认为，受市场行情涨势的影响，加密货币市场整体不稳定因素也在增多，但私钥被盗，代码后门此类安全事件和开发者欠缺安全意识有直接关系，大可避免。在此建议开发者应在合约上线前做好已知攻击特征安全测试，必要时可寻求第三方安全公司协助，帮助其完成合约上线前攻击测试及基础安全防御部署。[2019/6/1]

攻击者通过闪电贷获得了2900枚BNB。

美国音乐会票务巨头Ticketfly遭黑客攻击勒索比特币 暂时关闭所有系统:美国票务网站Ticketfly发布声明称，遭受了一名黑客的攻击，为保护客户、网站和相关数据，决定暂时将所有系统关闭。据Billboard，黑客称自己是IsHaKdZ，用Guy Fawkes的照片取代了Ticketfly的网站，声称可以访问Ticketfly的后台数据库。而Ticketfly与黑客进行了电子邮件交谈，黑客要求提供一个比特币来交换Ticketfly漏洞的详细信息。[2018/6/2]

攻击者将2900枚BNB换成了6,638,066,501,83枚WDOGE

WdogE:199,177,850,468

WBNB:2978

LP的状态：

将5,974,259,851,654枚WDOGE发送到LP，由于WDOGE比BNB多，所以LP现在处于不平衡状态。

WDOGE:5,178,624,112,169

WBNB:2978

LP的状态：

调用skim()函数，从LP中取回4,979,446,261,701枚WDOGE。由于攻击者在调用skim()之前发送了大量的WDOGE，所以LP将支付大量的费用。这一操作清空了LP内的WDOGE的数量。

攻击者还调用可sync()函数来更新LP内的储备值。若干枚WDOGE和2978枚BNB的存在，造成了WDOGE的价格与WBNB相比异常昂贵。

5.最后，攻击者用剩下的WDOGE换回了2978枚BNB，偿还了闪电贷，赚取了78枚BNB。

而其他几个项目被攻击的流程步骤也相似：

闪电贷取得WBNB，并用WBNB换取LP中的通缩代币；

直接将通缩的代币转移到LP对上；

调用skim()函数，迫使LP对输回通缩代币；

由于转让费的存在，攻击者会重复步骤2~3，将LP对中的通缩代币耗尽；

通过LP对中的价格不平衡来获取利润。

合约漏洞分析

当用户转移一定数量的WDOGE时，除了费用，还有4%的代币将被销毁。

因此，如果LP发送100枚WDOGE，其余额将减少104枚WDOGE。

所以，LP应该被排除在费用和代币销毁之外。

资产损失

审计的作用

CertiK审计专家认为：如果同时对代币和LP合约进行审计，这个漏洞就可能被发现。然而，如果只有代币合约被审计，那么交换机制将被视为一个外部依赖。而这种情况在审计过程中将会指出第三方依赖风险。具体为：如果是代币合约，CertiK审计专家将会与项目方讨论，确认是否需要除去LP对的手续费；如果是LP对方的合约，CertiK审计专家会提出通缩币的讨论，并且提醒项目方可能存在的风险。

作为区块链安全领域的领军者，CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止，CertiK已获得了3200家企业客户的认可，保护了超过3110亿美元的数字资产免受损失。

标签：DOGDOGEWDOWDOGE3X Short Dogecoin TokenBingo DogeTWDOtowdogecoin

币安app官网下载热门资讯