2022年5月21日,成都链安链必应-区块链安全态势感知平台舆情监测显示, bDollar项目遭受价格操控攻击,攻击者获利2381WBNB(价值约73万美元)。成都链安技术团队第一时间对事件进行了分析,结果如下。
#1 项目相关信息
南华早报:香港加密货币热潮不足以引领遭受重创的商业地产市场复苏:金色财经报道,香港试图成为加密货币中心的努力,以及香港市民对虚拟资产作为投资的明显兴趣,促使加密公司在香港占据商业空间。但是,分析师表示,加密货币的热度不足以引领香港遭受重创的商业地产市场复苏,不太可能成为香港低迷的零售房地产市场的最终救世主
自FTX在11月破产后,加密市场的不确定性的加剧使许多加密货币公司重新考虑他们积极扩张的任何立即计划。[2023/2/19 12:15:48]
由 Bearn.fi 提供的 bDollar 是币安智能链上的第一个算法稳定币,它可以确定性地调整其供应量,将代币的价格向目标价格方向移动,从而为 DeFi 带来可编程性和互操作性。
俄罗斯基于区块链的电子投票系统遭受节点攻击:由Bitfury驱动的用于俄罗斯宪法修正案电子投票系统的区块链在6月27日遭到攻击。莫斯科政府的一名代表表示,网络安全专家正在努力恢复对受攻击节点的访问,目前还不清楚它是否已经修复。这次攻击没有造成系统故障,这意味着所有的电子投票都将成功记录在区块链上。(Cointelegraph)[2020/6/29]
#2 事件相关信息
攻击交易
0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4
分析:尽管市场遭受重创,但比特币难度将继续上升预示着比特币依然看涨:比特币价格周日大幅下跌,引发投资者恐慌,但比特币网络难度预计将在今日上调近7%。分析师PlanB表示,“在减半前两个月没有疲软迹象”。根据历史数据,在减半后算力和难度将继续上升,因此,尽管市场存在FUD,也不会有“矿工投降”或“死亡螺旋”。
NewsBTC文章称,算力增长(这导致网络难度的增长)至少表明两点:1)比特币矿工对其长期成功(尤其是价格方面)充满信心,并为网络安全分配更多资源;2)矿机技术正在改进,导致算力增加。
此外,据NewsBTC此前报道,Capriole Investments负责人Charles Edwards以团队发现,BTC的公允价值可通过确定其用于保护网络的焦耳数来计算。因此,快速增长的算力和难度意味着比特币将很快再次开始走高。据BTC.com数据,目前比特币全网算力为121.13 EH/s,难度为15.49 T,预测下次难度上调6.94%至16.56 T,距离调整还剩8小时。(NewsBTC)[2020/3/9]
攻击者地址
Pikiochain遭受DDOS攻击:Pikiochain发布公告称,目前遭受到严重DDOS攻击,团队正在致力于让网页重新上线。同时警告用户不要受到欺诈信息的诱惑。Pikiochain是一家加密货币交易平台。[2018/3/30]
0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e
攻击合约
0x6877f0d7815b0389396454c58b2118acd0abb79a
被攻击合约
0xeaDa3d1CCBBb1c6B4C40a16D34F64cb0df0225Fd
1、通过闪电贷借出670WBNB。
2、 将其分成多份分别转入到WBNB/BDO、BUSD/BDO等多个池子进行兑换,拉高BDO的价格。
3、攻击者接着借出30,516 cake用于后续攻击:调用DAO Fund合约中的claimAndReinvestFromPancakePool函数,该函数将cake兑换成400个wbnb,且触发了200WBNB兑换BDO,然而最后会调用_addLiquidity,用合约中的WBNB去添加流动性。此时由于BDO价格很高,导致添加流动性时需要使用项目方合约中大量的WBNB,相当于项目方高位接盘。
4、最后攻击者通过pancake兑换出WBNB,归还闪电贷,获利2381 WBNB。
本次攻击主要利用了DAO fund代理合约CommunityFund中claimAndReinvestFromPancakePool函数在添加流动性时的设计漏洞,未充分考虑到价格被恶意拉高后,项目方会在添加流动性时,用自己合约内的资金被动高位接盘的情况。
截止发文时,被盗资金还未被攻击者转出,仍存在攻击合约中:0x6877F0D7815b0389396454C58b2118ACD0aBB79A。
针对本次事件,成都链安技术团队建议:
1、合约在设计时应充分考虑可能遇到的攻击,尽量完善其安全设计;
2、项目上线前,建议选择专业的安全审计公司进行全面的安全审计,规避安全风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。