2022年5月21日,成都链安链必应-区块链安全态势感知平台舆情监测显示, bDollar项目遭受价格操控攻击,攻击者获利2381WBNB(价值约73万美元)。成都链安技术团队第一时间对事件进行了分析,结果如下。
#1 项目相关信息
某地址遭受网络钓鱼攻击损失26.6万美元的USDC和DAI:金色财经报道,据Scam Sniffer监测,7小时前,某地址遭受网络钓鱼攻击损失了价值约26.6万美元的USDC和DAI。[2023/9/9 13:28:40]
由 Bearn.fi 提供的 bDollar 是币安智能链上的第一个算法稳定币,它可以确定性地调整其供应量,将代币的价格向目标价格方向移动,从而为 DeFi 带来可编程性和互操作性。
#2 事件相关信息
攻击交易
0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4
以太坊链上MEV bot遭受攻击,攻击者已盗取约115ETH:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,以太坊链上MEV bot 遭受攻击,攻击者(0x9e189A200E7e6b72a8fA9cCFbA8C800B01Bff520)使用同DubaiCEO代币相同的合约,该合约存在refund和burnFromAddresses后门函数,其攻击者通过销毁MEV bot的token,使MEVbot只能买入而无法卖出。目前,攻击者(0x9e189A200E7e6b72a8fA9cCFbA8C800B01Bff520)利用后门已盗取MEVbot约115ETH(价值22.5W美元)[2023/7/4 22:17:13]
攻击者地址
AnySwap遭受攻击,现已修复漏洞并将全额补偿受损用户:据官方消息,跨链交易协议AnySwap表示,其新的多链原型V3路由器早在7月10日已遭到攻击,Anyswap桥接无虞,只是新的V3跨链流动性池受到了影响。据了解,BSC上的V3 Router MPC账户下检测到两笔v3路由器交易,这两笔交易具有相同的R值签名,黑客反向推导出了MPC账户的私钥。所有的V1/V2桥接交易都被审计过,它们没有相同的R交易,V1/V2中使用的所有过渡资金均安全。团队已经修复了代码,以避免使用相同的R签名。AnySwap多链路由器V3将在48小时内重新启动。Trail of Bits一直在审核V1/V2, 并将助力解决v3事件。此次攻击事件的最终损失资金为2,398,496.02 USDC和5,509,222.73 MIM。团队将针对所有被盗资金采取补救措施以提供全额补偿,V3的LP不会有任何损失。[2021/7/12 0:44:21]
0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e
智能DeFi收益聚合器BT.Finance遭受黑客攻击:官方消息,智能DeFi收益聚合器BT.Finance遭受黑客攻击,暂时停止了向Curve.fi存款,以防止再次攻击。受攻击的策略包括ETH,USDC和USDT,其他策略不受影响。BT.Finance表示,有用于保险和赔偿的管理资金。为了投资者和DeFi的良好发展,BT.Finance希望黑客能够将资金归还。BT.Finance将使用BT感谢其Bug测试。此外,BT.Finance提款费用保护使这次攻击的损失减少了近140,000美元。[2021/2/9 19:19:05]
攻击合约
0x6877f0d7815b0389396454c58b2118acd0abb79a
被攻击合约
0xeaDa3d1CCBBb1c6B4C40a16D34F64cb0df0225Fd
1、通过闪电贷借出670WBNB。
2、 将其分成多份分别转入到WBNB/BDO、BUSD/BDO等多个池子进行兑换,拉高BDO的价格。
3、攻击者接着借出30,516 cake用于后续攻击:调用DAO Fund合约中的claimAndReinvestFromPancakePool函数,该函数将cake兑换成400个wbnb,且触发了200WBNB兑换BDO,然而最后会调用_addLiquidity,用合约中的WBNB去添加流动性。此时由于BDO价格很高,导致添加流动性时需要使用项目方合约中大量的WBNB,相当于项目方高位接盘。
4、最后攻击者通过pancake兑换出WBNB,归还闪电贷,获利2381 WBNB。
本次攻击主要利用了DAO fund代理合约CommunityFund中claimAndReinvestFromPancakePool函数在添加流动性时的设计漏洞,未充分考虑到价格被恶意拉高后,项目方会在添加流动性时,用自己合约内的资金被动高位接盘的情况。
截止发文时,被盗资金还未被攻击者转出,仍存在攻击合约中:0x6877F0D7815b0389396454C58b2118ACD0aBB79A。
针对本次事件,成都链安技术团队建议:
1、合约在设计时应充分考虑可能遇到的攻击,尽量完善其安全设计;
2、项目上线前,建议选择专业的安全审计公司进行全面的安全审计,规避安全风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。