月亮链 月亮链
Ctrl+D收藏月亮链
首页 > 世界币 > 正文

SDO:SafeDollar 归零 Polygon生态的“潘多拉魔盒”已打开?_usdp币什么时候发行

作者:

时间:1900/1/1 0:00:00

一、事件概览

北京时间6月28日,链必安-区块链安全态势感知平台舆情监测显示,Polygon生态算法稳定币项目SafeDollar遭到黑客攻击。攻击事件发生后,SafeDollar项目所发行的稳定币价格从1.07美元,瞬间跌至归零。

有消息指出,一份未经证实的合约抽走了25万美元的USDC和USDT;后经Rugdoc.io分析证实,此次攻击事件中黑客总共获利价值25万美元的USDC和USDT。随后,SafeDollar项目方发布公告,要求投资者停止所有与SDO相关的交易。目前,SDO交易已暂时中止。

鉴于此次攻击事件所具备的标志意义,成都链安·安全团队第一时间介入分析。继5月初BSC诸多链上项目频频被黑之后,6月末Polygon生态也开始被黑客盯上,“潘多拉魔盒”是否已经悄然开启?借此事件,成都链安通过梳理攻击流程和攻击手法,提醒Polygon生态项目加强安全预警和防范工作。

区块链房产科技初创公司HousAfrica完成40万美元融资:金色财经报道,区块链房产科技初创公司HousAfrica宣布完成40万美元融资,其支持者包括Future Africa、SSE Angel Network (SSEAN)、ARM Labs、CV VC、Startupbootcamp Afritech、Niche Capital、Rebel Seed Capital等。HouseAfrica为房地产开发商及其客户提供房地产数字化和透明度工具,该公司的旗舰产品Sytemap利用专有的区块链和地图技术创建私人土地登记将房地产项目站点地图数字化,新资金将用于深化技术开发并扩大采用率及其团队规模。(techeconomy)[2023/3/25 13:26:11]

二、事件分析

此次攻击事件中,攻击者利用PLX代币转账时实际到账数量小于发送数量以及SdoRewardPool合约抵押和计算奖励上存在的逻辑缺陷,借助“闪电贷”控制SdoRewardPool合约中抵押池的抵押代币数量,进而操纵奖励计算,从而获得巨额的SDO奖励代币,最后使用SDO代币将SDO-USDC和SDO-USDT两种兑换池中USDC和USDT全部兑换出来。

超2500个符合条件的地址已申领SAFE:9月29日消息,Safe(原Gnosis Safe)在社交媒体上表示,超2,500个符合条件的地址已申领SAFE。[2022/9/29 6:02:06]

攻击者地址:

0xFeDC2487Ed4BB740A268c565daCdD39C17Be7eBd

攻击合约:

0xC44e71deBf89D414a262edadc44797eBA093c6B0

0x358483BAB9A813e3aB840ed8e0a167E20f54E9FB

攻击交易:

0xd78ff27f33576ff7ece3a58943f3e74caaa9321bcc3238e4cf014eca2e89ce3f

0x4dda5f3338457dfb6648e8b959e70ca1513e434299eebfebeb9dc862db3722f3

Safe更新代币分发提案:快照日期延后至8月18日:9月1日消息,数字资产管理平台 Safe( 原 Gnosis Safe)在收集社区反馈后,更新 SAFE 代币分发提案,新代币分发更新规则提案下,所有符合条件的 Safe 账户将获得至少 100 个代币,符合条件的 Safe 账户数量有 55,719 个。具体更改内容包括:

一、快照日期延后至 2022 年 8 月 18 日(之前为 2022 年 2 月 9 日);

二、目前考虑的资产还包括稳定币 DAI、USDC、USDT,而不仅仅是 ETH 和 WETH;

三、将基于交易活动和存储价值分配的代币之间的份额设置为 50:50(之前是 2:1)四、所需的最小交易数减少到 1(此前要是 3 笔);

四、所需的最小交易数减少到 1(此前要是 3 笔);

五、现在不设置存储最小值(之前是 1 ETH)。[2022/9/2 13:03:20]

0x1360315a16aec1c7403d369bd139f0fd55a99578d117cb5637b234a0a0ee5c14

0xHabitat的Gnosis Safe多签遭攻击,团队资金被盗约140万枚HBT:12月4日消息,致力于使用Optimistic Rollup技术提升DAO规模的0xHabitat的Gnosis Safe多签遭攻击,团队资金被盗约140万枚HBT。LP需要退出SLP HBT-ETH代币,建议HBT代币持有者从rollup中退出资金。官方表示,当前的HBT代币很可能会被新代币取代,会在2021年12月01日攻击前拍快照。[2021/12/4 12:50:39]

以下分析基于以下两笔交易:

0xd78ff27f33576ff7ece3a58943f3e74caaa9321bcc3238e4cf014eca2e89ce3f

0x1360315a16aec1c7403d369bd139f0fd55a99578d117cb5637b234a0a0ee5c14

攻击者首先使用PolyDex的WMATIC和WETH池进行PLX借贷,如下图所示:

点对点服务平台通过SAFT筹集了2850万美元:据coindesk消息,美国证券交易委员会周二公布D文件披露,点对点服务平台创业公司Origin,通过简单的未来令牌协议(SAFT)筹集了2850万美元。[2018/4/19]

接下来,攻击者通过攻击合约反复进行抵押提取,主要是为了减少SdoRewardPool合约中SDO抵押池中的抵押代币数量。

PLX代币合约进行代币转移时,如果from地址不在_isExcludedFromFee列表中,并且to地址也不在_isExcludedToFee列表中,会对转移的代币收取一次奖励基金以及销毁本次转移代币数量的0.05%。

而在SdoRewardPool合约中,记录的数量为调用者所转移的数量,没有减去转移过程中损耗的部分,在进行提取操作时,提取的数量为记录的数量,超出了用户实际抵押到本合约的数量,故会造成该抵押池中抵押代币的异常减少。

攻击者事先通过攻击合约

在该抵押池中抵押214.235502909238707603PLX,在攻击合约

攻击完成后,控制攻击合约

在该抵押池中进行奖励领取,由于SdoRewardPool合约中更新抵押池信息时使用的是balanceOf函数获取本合约中抵押代币数量,故获取到的数量是恶意减少之后的数量,继而造成PLX抵押池中accSdoPerShare变量异常增大,从而获取到巨额的SDO代币奖励。

最后利用获取到的SDO代币将SDO-USDC和SDO-USDT两种兑换池中USDC和USDT全部兑换出来。

三、事件复盘

事实上,此次攻击事件并不复杂,但是值得引起注意。首先添加抵押池时添加了非标准代币,再加上计算奖励时使用了balanceOf函数进行抵押代币数量的获取,所以导致了此次攻击事件的发生。

从安全审计的角度看,项目方作为添加抵押池的管理员,对于将要添加的抵押池中的抵押贷币,一定要三思而后行。通胀通缩类以及转移数量与实际到账数量不同的代币,不建议作为抵押池的抵押代币;如果因业务需要一定要添加这些类型的代币作为奖励代币,务必与其他标准代币分开处理。同时在抵押池中建议使用一个单独的变量作为抵押数量的记录,然后计算奖励时,使用通过此变量来获取抵押代币数量,而不是使用balanceOf函数。

另外,此次攻击事件对于Polygon生态链上项目而言,是否会是一个“危险信号”,Polygon生态的“潘多拉魔盒”是否会就此打开,这还需要观望后续态势发展。不过,回望5月,BSC生态发生第一起闪电贷攻击之后,便就此拉开了“BSC黑色五月”序幕。鉴于前车之鉴,成都链安在此提醒,Polygon生态链上项目未雨绸缪,切实提高安全意识!

标签:SDOSAFEUSDOLYSDOGESAFEPLUTOusdp币什么时候发行polyx币背景

世界币热门资讯
NFT:西班牙NFT艺术家Oscar的反乌托邦艺术_VIT

OscarCivit在成为NFT艺术家之前是一名西班牙的插画师。他的作品在几个同类型的NFT平台上都有很好的销售记录.

1900/1/1 0:00:00
FIN:对DFINITY的去中心化身份、账户与钱包介绍 开发者能如何利用?_Leprechaun Finance

原文标题:《对DFINITY的去中心化身份、账户与钱包介绍开发者能如何利用?》6月3号,ICPLeague联合社区开发者举办了第二期的开发者电话会,探讨了DFINITY的底层账户结构.

1900/1/1 0:00:00
BTC:金色趋势丨市场黄金坑机会再现?_泰达币USDT

金色午报 | 11月8日午间重要动态一览:7:00-12:00关键词:Grin Network、Robert Bryson、USDT 1.

1900/1/1 0:00:00
ALI:对提议者/区块构建者分离友好的费用市场设计_Decentralized

作者|VitalikButerin特别感谢JustinDrake和Flashbots团队的反馈和讨论.

1900/1/1 0:00:00
NFT:网易坐不住了?于淘宝发行首个 NFT 作品_FTE

继6月23日-24日,国内巨头支付宝联名敦煌美术研究所、知名国产动漫《刺客伍六七》推出4款NFT付款码皮肤,短短两天上线32000份NFT均被秒抢后,终于,网易也坐不住了?据官方消息.

1900/1/1 0:00:00
ROL:一文读懂跨链发展史 V神提出的Rollups之间的桥要如何修建?_poloniex中文交易平台

为什么需要跨链?什么是桥?为什么需要跨链解决方案?区块链有多种运行环境,不同的区块链支持不同的协议、dApps和加密资产.

1900/1/1 0:00:00