2022年9月8日,CertiKSkynet天网监测到NewFreeDAO(NFD)项目遭遇了闪电贷攻击。
漏洞在NFD项目部署的一个未经验证的奖励合约中,攻击者利用闪电贷借入NFD代币,并将其发送到攻击合约。随后攻击合约则调用未经验证的奖励合约,向攻击者发送更多的NFD代币。
攻击者在3次攻击中重复这个过程,获取了4481个WBNB,价值约125万美元。
由于攻击者大量抛售NFD代币,该代币的价格已经暴跌超过99%。
攻击步骤
①攻击者部署了一个恶意合约。在同一笔交易中,它调用了以下函数,将自己添加为合约成员。
最高法院称苹果应用商店规则暂时有效:金色财经报道,美国最高法院法官暂时停止了第九巡回上诉法院在《堡垒之夜》发行商 Epic Games 对科技巨头苹果公司提起的为期三年的诉讼中做出的裁决。?该请求将立即放宽苹果应用商店的支付规则,以利于加密货币和NFT应用程序的潜在利益。
这一延迟将使苹果有时间就该裁决向最高法院提出上诉,同时继续执行其当前的App Store规则,禁止iOS应用程序向用户提供有关外部支付方式或市场的信息或链接。[2023/8/10 16:17:01]
②攻击者执行了三次闪电贷攻击,借助第一笔闪电贷款,借入250个WBNB,并将其交易为6,313,508个NFD代币。
分析师:持有5.9万亿枚PEPE的Smart Money地址全部抛售或需4.6万年时间:4月19日消息,Conotoxia Ltd. 市场分析师 Grzegorz Drozdz 针对近日某 Smart Money 地址 4 日前斥资 0.125 ETH 买入 5.9 万亿枚 PEPE 获利 4500 倍」的消息发表观点表示,由于 PEPE 的流动性问题,该 Smart Money 地址将难以实现这一理论上的利润,假设市场对 PEPE 的买入需求不会下降,全部抛售这些资产也需要 46,200 年的时间,反而开始抛售后很快就会导致价格跌至(甚至低于)买入水平。
此前报道,据 Lookonchain 数据显示,某SmartMoney地址于 4 天前在 Uniswap 平台将 0.125 枚 ETH(约合 251 美元)兑换为 5.9 万亿枚 PEPE。以当时 PEPE 报价 0.0000001933 美元计算,该地址囤积的 5.9 万亿枚 PEPE 的价值已达到 114 万美元,若能以当前价格全部出售(目前暂未出售),本次投资回报将达到 4500 倍。[2023/4/19 14:13:58]
③这些代币被发送到一些未经验证的合约中。
前新加坡电信体育部主管加入Web3创作者平台Virtualness:金色财经报道,前新加坡电信体育部主管Joyee Biswas以创始团队成员身份加入Web3创作者平台Virtualness,负责领导体育和媒体合作伙伴关系。
此前报道,去年11月Virtualness完成800万美元种子轮融资, Blockchange Ventures领投。[2023/1/12 11:07:51]
④这调用了0xe2f9d09c,输入NFD代币地址0x0000000000000000000038c63a5d3f206314107a7a9fe8cbba29d629d4f9。
Blast现已添加对APTOS网络支持:11月3日,据官方公告,Bware Labs API基础设施平台Blast现已添加对APTOS网络支持,支持通过Blast与 APTOS进行交互。[2022/11/3 12:12:32]
⑤这触发了NFD项目部署的另一个未经验证的奖励合约0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e.0x6811e3b9()。
之后,未验证的合约实际上从奖励合约中收到了额外的525,283个NFD代币——总计6,838,792个NFD代币,这些代币被发回给了攻击合约。
⑥在上述交易中,NFD合约错误地释放了额外的525,283NFD。因此当攻击者完成攻击时,获取了总计343,323,371个NFD代币,在偿还了最初的250WBNB贷款后,获利4481WBNB,总价值约125万美元。
⑦最后攻击者通过两笔交易,将2,000WBNB换为556,556.72USDT。目前攻击者钱包仍持有2,481WBNB。
漏洞分析
本次攻击事件的漏洞位于NFD项目部署的一个未经验证的奖励合约。由于NFD合约的源代码在BSCScan上未被验证,因此还无法确定攻击者用来利用合约的确切机制。
资金去向
攻击者总共获得了4481个WBNB,并将其中的2000个换成了55.7万枚USDT,剩下的WBNB仍然在攻击者的账户中。
将2000WBNB交易为USDT的两笔交易:
https://bscscan.com/tx/0x8c035fc9c3d944b3dd4a0ea721c119240cb624e79b7625a16173ad6682410599?
https://bscscan.com/tx/0xda4b4de6ecacfe9b8b60167a2010630aeec103ab51920eb2e1b94ba1fef6c95b?
相关地址
攻击者账户:
https://bscscan.com/address/0x22c9736d4fc73a8fa0eb436d2ce919f5849d6fd2?
攻击合约:
https://bscscan.com/address/0xa35ef9fa2f5e0527cb9fbb6f9d3a24cfed948863?
未经验证的奖励合约:
https://bscscan.com/address/0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e?
WBNB-USDT对:
https://bscscan.com/address/0x16b9a82891338f9ba80e2d6970fdda79d1eb0dae?
USDT-NFD对:
https://bscscan.com/address/0x26c0623847637095655b2868c3182b2285bdaeaf?
写在最后
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会持续于官方公众号发布与项目预警相关的信息。
CertiK的端到端安全解决方案,从智能合约审计和KYC项目背景调查服务,到Skynet天网动态扫描系统和SkyTrace等区块链分析工具,以及漏洞赏金计划,助力每一个项目充分发挥潜力的同时为Web3.0打造用户和投资者高参与的生态系统。
来源:金色财经
首先,什么是StardukeNFTs盲盒?StarDuke星际公爵是BSC链上由社区驱动的多场景生态游戏,使用金融机制和游戏系统为玩家赋能.
1900/1/1 0:00:00周二市场需要密切关注美国8月的ISM非制造业PMI数据,而澳洲联储也将会公布利率决议。周一因北美市场休市,市场整体表现较为清淡.
1900/1/1 0:00:0000:00-08:00关键词:FuelLabs、俄罗斯财政部副部长AlexeyMoiseyev、毕马威、前美国货币监理署署长GeneLudwig、腾讯、Coinbase1.金色财经报道.
1900/1/1 0:00:00回顾昨日:以太坊短线经过一段漂亮的V型结构重新站稳1600后,昨日多头并没有太多的展现,价格维持区间1600-1660整理,尤其对于1600关口支撑的连续测试不破.
1900/1/1 0:00:00《国家发展改革委等部门关于整治虚拟货币“挖矿”活动的通知》要求各地区各部门要全面清理虚拟货币挖矿活动。文件发布后各地区各部门都采取了相应措施整治虚拟货币挖矿活动.
1900/1/1 0:00:00以太坊行情分析昨天行情受阻与前期阻力1660位置,没有有效突破,回归震荡平台,但是整体行情的秩序依然是上涨秩序的背景。当下重点关注下方支撑位置,低多是昨天交易的主要策略,按著策略达到预期.
1900/1/1 0:00:00