BTC/HKD+0.22%
ETH/HKD+0.02%
LTC/HKD+0.7%
DOT/HKD-0.35%
ADA/HKD-0.09%
SOL/HKD-0.45%
XRP/HKD-0.08%
DOGE/US+0.15%前言
北京時間2022年4月30日,知道創宇區塊鏈安全實驗室?監測到BSC鏈上的bDollar項目遭到價格操縱攻擊,導致損失約73萬美元。
知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。
基礎信息
攻擊者地址:0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e
攻擊合約:0x6877f0d7815b0389396454c58b2118acd0abb79a
數據:美SEC起訴幣安后,FBG Capital將此前提現的4400萬枚USDT再度存入幣安:6月6日消息,Lookonchain監測顯示,在美國證券交易委員會(SEC)起訴幣安的消息傳出之前,FBG Capital從幣安撤回了3500萬枚USDT,從OKX撤回了900萬枚USDT,而在美SEC起訴幣安的消息傳出之后,FBG Capital將4400萬枚USDT全部存入幣安。[2023/6/6 21:18:46]
tx:0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4
美CFTC專員:加密公司不應將CFTC視為比SEC更友好的監管機構:5月24日消息,美國商品期貨交易委員會 (CFTC) 的五名專員之一Christy Goldsmith Romero表示,加密貨幣案件約占該機構案件的20%,其中包括最近針對交易所幣安和FTX的民事案件。Goldsmith Romero稱,這個領域有很多欺詐行為,我們無法監管所有欺詐行為,但我們必須做點什么。
Goldsmith Romero駁斥了CFTC與美國證券交易委員會(SEC)之間就監管加密貨幣展開地盤爭奪戰的說法,但承認該行業的許多產品都是新產品,各機構“仍在努力弄清楚。加密公司不應將CFTC視為比SEC更友好的監管機構。Goldsmith Romero稱,我不喜歡CFTC在某種程度上過于寬松的說法,CFTC并不是‘輕觸式監管機構。[2023/5/24 15:22:32]
CommunityFund合約:0xEca7fC4c554086198dEEbCaff6C90D368dC327e0
Etherscan將于3月1日在以太坊主網上執行預定服務器維護和升級:金色財經報道,區塊鏈瀏覽器Etherscan發推表示,將于3月1日13:30在主網上執行預定服務器維護和升級,預計維護時間為 2 至 4 小時,在維護期間新區塊不會更新,合約驗證也不可用。[2023/2/28 12:34:28]
漏洞分析
漏洞關鍵在于CommunityFund合約中的claimAndReinvestFromPancakePool方法在使用Cake代幣進行代幣轉換時,會對換取的WBNB數量進行判斷并且會自動把換取的WBNB的一半換為BDO代幣;而之后合約會自動使用合約中的WBNB為池子添加流動性,若此時BDO代幣的價值被惡意抬高,這將導致項目方使用更多的WBNB來為池子添加流動性。
而最為關鍵的是,攻擊者實施攻擊前,在WBNB/BDO、Cake/BDO、BUSD/BDO池子中換取了大量BDO代幣導致BDO價格被抬高。
在我們對攻擊交易進行多次分析之后,發現事情并沒有那么簡單,該次攻擊極有可能是被搶跑機器人搶跑交易了,依據如下:
1、該筆攻擊交易比BSC鏈上普通交易Gas費高很多,BSC鏈上普通交易默認Gas費為5Gwei,而該筆交易竟高達2000Gwei。
2、我們發現該攻擊合約與攻擊者地址存在多筆搶跑交;
3、我們在相同區塊內找尋到了真實攻擊者的地址與交易,該交易被回滾了。
攻擊流程
1、攻擊者使用閃電貸貸款670枚WBNB;
2、之后攻擊者將WBNB在各個池子中換取大量BDO代幣;
3、隨后攻擊者再次使用閃電貸貸款30516枚Cake代幣;
4、將貸款的Cake代幣進行swap,換取400WBNB,其中200枚被協議自動換取為BDO代幣;
5、攻擊者將WBNB換取Cake代幣用于歸還閃電貸;
6、最后,攻擊者將升值后的3,228,234枚BDO代幣換取3020枚WBNB,還款閃電貸671枚,成功套利2381枚WBNB價值約73萬美元。
總結
本次攻擊事件核心是合約會為流動性池自動補充流動性,而未考慮代幣價格是否失衡的情況,從而導致項目方可能在價格高位對流動性進行補充,出現高價接盤的情況。
建議項目方在編寫項目時多加注意函數的邏輯實現,對可能遇到的多種攻擊情況進行考慮。
在此提醒項目方發布項目后一定要將私鑰嚴密保管,謹防網絡釣魚,另外,近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
尊敬的XT.COM用戶:XT.COM現已暫停VOLT-BEP20提現業務。給您帶來的不便,請您諒解!感謝您對XT.COM的支持與信任.
1900/1/1 0:00:00尊敬的AAX用戶: 為了感謝各位用戶長期以來對AAX的支持,AAX現推出“第六期邀請好友衝榜賽,瓜分獎池50000USDT”活動,AAX用戶邀請好友註冊最高可得20USDT獎勵20%返傭.
1900/1/1 0:00:00親愛的ZT用戶: 為給用戶提供更好的交易體驗,ZT會對已上線項目進行嚴格審查,根據項目下架規則,ZT決定對SIP,GFloki,EGC,BEZOGE,MCC,GODZ,BCOIN,NCR.
1900/1/1 0:00:00DearValuedUsers,HuobiGlobalwillbelaunchingdepositeventsfor?KCT.Makeyourdepositstoearnhigh-yieldin.
1900/1/1 0:00:00DearValuedUsers,HuobiGlobalwillbeopeningOCT(Octopus)?spottrading(OCT/USDT)andspotGridtrading(OCT/.
1900/1/1 0:00:005月22日消息,幣安首席執行官趙長鵬在官方博客發表文章闡述在UST/LUNA崩盤事件中學到的經驗教訓.
1900/1/1 0:00:00
比特幣價格
