北京时间 2022 年 4 月 30 日,知道创宇区块链安全实验室 监测到 BSC 链上的 bDollar 项目遭到价格操纵攻击,导致损失约 73 万美元。
知道创宇区块链安全实验室 第一时间跟踪本次事件并分析。
攻击者地址:0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e
攻击合约:0x6877f0d7815b0389396454c58b2118acd0abb79a
美国部落国家经济区发布 DAO 规则草案:金色财经报道,周三发布的规则草案显示,南卡罗来纳州罗克希尔的卡托巴印第安民族支持的数字经济区希望将去中心化自治组织 (DAO) 视为非法人非营利协会或有限责任公司。
拟议的法规是卡托巴数字经济区(CDEZ)努力吸引区块链和Web3公司到联邦承认的700英亩保留地的一部分。
根据 CDEZ 的说法,将 DAO 组织为非营利组织的选项提供了治理机构“渴望”的灵活性。这意味着 DAO 几乎可以完全通过自己的原则而不是任何法定要求来自由地管理自己。这些规则在 9 月 10 日之前公开征求公众意见。(coindesk)[2022/8/18 12:34:39]
tx:0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4
Ready Player Dao以1.5亿美元估值完成1020万美元融资,The Chernin Group领投:4月6日消息,Ready Player Dao宣布以1.5亿美元估值完成1020万美元融资,本轮融资由The Chernin Group领投,Sterling VC、1kx、Hashed和Consensus Mesh等参投。
据悉,Ready Player DAO由一群游戏爱好者和元宇宙探索者组成的去中心化自治组织,致力于利用集体力量为所有人创造公平的游戏环境。Ready Player Dao通过租借以NFT为代表的游戏资产,允许人们访问游戏并赚取Token或NFT等资产。目前,Ready Player Dao在其社区中有超过10,000名游戏玩家。[2022/4/6 14:07:14]
CommunityFund 合约:0xEca7fC4c554086198dEEbCaff6C90D368dC327e0
AC DAO将在BNB Chain上部署solidly的升级协议DDDX.io:3月9日消息,AC DAO宣布将在BNB Chain上部署solidly的升级协议DDDX.io,且负责维护Andre Cronje所有停止运营的项目。DDDX在solidly协议基础上做了如下升级:
1,实现了双AMM算法及双交易费机制:稳定币交易费0.01%,非稳定币交易费0.25%。
2,降低了首次的流动性挖矿的通胀基数。当前DDDX正在进行对solidly的锁仓venft的用户进行白名单空投活动。[2022/3/9 13:47:15]
漏洞关键在于 CommunityFund 合约中的 claimAndReinvestFromPancakePool 方法在使用 Cake 代币进行代币转换时,会对换取的 WBNB 数量进行判断并且会自动把换取的 WBNB 的一半换为 BDO 代币;而之后合约会自动使用合约中的 WBNB 为池子添加流动性,若此时 BDO 代币的价值被恶意抬高,这将导致项目方使用更多的 WBNB 来为池子添加流动性。
Solana生态借贷项目Jet Protocol或将于近期公布DAO治理和JET空投相关事宜:2 月 15日,Solana 生态借贷项目 Jet Protocol 官方在社交媒体上发文表示,该正在准备 Jet Protocol 的 DAO 治理和 JET 空投相关事宜。[2022/2/15 9:51:19]
而最为关键的是,攻击者实施攻击前,在 WBNB/BDO、Cake/BDO、BUSD/BDO 池子中换取了大量 BDO 代币导致 BDO 价格被抬高。
在我们对攻击交易进行多次分析之后,发现事情并没有那么简单,该次攻击极有可能是被抢跑机器人抢跑交易了,依据如下:
1、该笔攻击交易比 BSC 链上普通交易 Gas 费高很多,BSC 链上普通交易默认 Gas 费为 5Gwei,而该笔交易竟高达 2000Gwei。
2、我们发现该攻击合约与攻击者地址存在多笔抢跑交;
3、我们在相同区块内找寻到了真实攻击者的地址与交易,该交易被回滚了。
1、攻击者使用闪电贷贷款 670 枚 WBNB;
2、之后攻击者将 WBNB 在各个池子中换取大量 BDO 代币;
3、随后攻击者再次使用闪电贷贷款 30516 枚 Cake 代币;
4、将贷款的 Cake 代币进行 swap,换取 400WBNB,其中 200 枚被协议自动换取为 BDO 代币;
5、攻击者将 WBNB 换取 Cake 代币用于归还闪电贷;
6、最后,攻击者将升值后的 3,228,234 枚 BDO 代币换取 3020 枚WBNB,还款闪电贷 671 枚,成功套利 2381 枚 WBNB 价值约 73 万美元。
本次攻击事件核心是合约会为流动性池自动补充流动性,而未考虑代币价格是否失衡的情况,从而导致项目方可能在价格高位对流动性进行补充,出现高价接盘的情况。
建议项目方在编写项目时多加注意函数的逻辑实现,对可能遇到的多种攻击情况进行考虑。
在此提醒项目方发布项目后一定要将私钥严密保管,谨防网络钓鱼,另外,近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。