据CertiK安全团队监测,, Wiener DOGE项目于北京时间2022年4月24日下午4时33分被恶意利用,造成了3万美元(折合人民币约12.6万)的损失。攻击者利用WDODGE的收费机制和交换池之间的不一致,发起了攻击。
事件发生的根本原因是:通过紧缩的代币合约造成发送方的LP对没有被排除在转账费用之外。因此,攻击者能够将LP对中的通货紧缩代币耗尽,进而导致货币对价格失衡。
而随后于同一天接连发生了另外三起恶意利用:
同天下午6时20分,Last Kilometer项目被闪电贷攻击利用,造成了26495美元(折合人民币约17万)的损失;
AscendEX:正在与全球合作伙伴协作,阻止黑客交易:12月13日消息,针对部分代币被异常转移出热钱包事件,多家区块链安全公司、执法部门已协助AscendEX开展调查,全力追踪和监控被非法转移的资产。AscendEX也与Binance、Huobi、OKEx、Kucoin、MEXC等多家交易所紧密沟通,将与这起事件有关的钱包列入了黑名单。
此外,AscendEX正积极地与所有受该事件影响的项目方协调合作,以减轻对其社区潜在的影响,并建议受影响的项目在合约允许的前提下暂停资产转账功能。许多项目正在研究向用户重新发放代币的可能性。
AscendEX将对受该事件影响的客户进行全额补偿,通过彻底的安全审查后,将重新开放平台充提功能。目前平台其他资产已转移至冷钱包,确保事件调查期间的用户资产安全。[2021/12/13 7:36:07]
同天晚上9时45分,Medamon项目被闪存贷攻击利用,造成3159美元(折合人民币约2万)的损失;
富士康遭黑客攻击并被要求支付3420万美元的比特币赎金:最大的苹果产品制造商富士康遭到勒索软件攻击,黑客要求富士康支付1804.0955枚比特币,价值约3420万美元。据悉,黑客袭击了该公司在墨西哥的一处设施,大约100 GB的未加密数据被盗,一些业务相关文件已经在网上泄露。(bleepingcomputer)[2020/12/8 14:31:56]
紧接着, PI-DAO项目被闪存贷攻击利用,造成了6445(折合人民币约4万)美元的损失。
这一系列攻击的攻击者与攻击方法,与同一天早些时候发生的Wiener DOGE相同。
动态 | 黑客归还以太坊域名服务拍卖中被盗17个域名:据Cointelegraph消息,10月4日,黑客决定全部归还以太坊域名服务(ENS)拍卖中盗取的17个以太坊域名。数字收藏品市场OpenSea表示,所有被盗的ENS名称均已成功归还,并且域名竞标将在未来几周内重新开始。据悉9月初,黑客利用ENS出价过程,成功窃取了17个域名,出价低于其他用户。 此前10月1日消息,Ethereum Name Service的域名拍卖活动因出现bug而中止,该Bug导致拍卖域名被错误授予了出价较低的用户。[2019/10/5]
攻击者通过闪电贷获得了2900枚BNB。
动态 | 安全公司LAC发布关于加密盗窃黑客团体“HYDSEVEN”的研究报告:信息安全公司LAC于6月19日起草了一份关于试图窃取加密货币的新黑客集团报告书。报告书提到,被称为“HYDSEVEN”的黑客团体自2016年开始持续在包括日本、波兰在内的国家开展了网络攻击。报告书称,据推测该团体使用俄罗斯系语言进行活动。“HYDSEVEN”是由LAC命名,因为在该团体发动攻击的过程中,多次使用了“HYD”和“SEVEN”两个词语。 HYDSEVEN的攻击大多是向特定组织和个人发送电子邮件并窃取个人信息,其还假装大学研究机构的研究人员发起攻击。 LAC表示,目前还未掌握因HYDSEVEN而造成的虚拟货币损失情况。[2019/6/22]
攻击者将2900枚BNB换成了6,638,066,501,83枚WDOGE
WdogE : 199,177,850,468
WBNB: 2978
LP的状态:
将5,974,259,851,654枚WDOGE发送到LP,由于WDOGE比BNB多,所以LP现在处于不平衡状态。
WDOGE : 5,178,624,112,169
WBNB : 2978
调用skim()函数,从LP中取回4,979,446,261,701枚WDOGE。由于攻击者在调用skim()之前发送了大量的WDOGE,所以LP将支付大量的费用。这一操作清空了LP内的WDOGE的数量。
攻击者还调用可sync()函数来更新LP内的储备值。若干枚WDOGE和2978枚BNB的存在,造成了WDOGE的价格与WBNB相比异常昂贵。
5. 最后,攻击者用剩下的WDOGE换回了2978枚BNB,偿还了闪电贷,赚取了78枚BNB。
而其他几个项目被攻击的流程步骤也相似:
闪电贷取得WBNB,并用WBNB换取LP中的通缩代币;
直接将通缩的代币转移到LP对上;
调用skim()函数,迫使LP对输回通缩代币;
由于转让费的存在,攻击者会重复步骤2~3,将LP对中的通缩代币耗尽;
通过LP对中的价格不平衡来获取利润。
当用户(或LP)转移一定数量的WDOGE时,除了费用,还有4%的代币将被销毁。
因此,如果LP发送100枚WDOGE,其余额将减少104枚WDOGE。
所以,LP应该被排除在费用和代币销毁之外。
CertiK审计专家认为:如果同时对代币和LP合约进行审计,这个漏洞就可能被发现。然而,如果只有代币合约被审计,那么交换机制将被视为一个外部依赖。而这种情况在审计过程中将会指出第三方依赖风险。具体为:如果是代币合约,CertiK审计专家将会与项目方讨论,确认是否需要除去LP对的手续费;如果是LP对方的合约,CertiK审计专家会提出通缩币的讨论,并且提醒项目方可能存在的风险。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。
(1)全球政策:1.1 巴西参议院宣布即将批准“比特币法”。1.2 欧盟在最新MiCA草案中指定ESMA为加密资产最高监管机构.
1900/1/1 0:00:001.DeFi代币总市值:1188.56亿美元 DeFi总市值 数据来源:coingecko2.过去24小时去中心化交易所的交易量:39.
1900/1/1 0:00:00对于任何软件公司来说,安全是一个根本性的困难和不对称的问题。而对于安全问题来说,是没有什么灵丹妙药的——仅在上个月,就有几家技术公司出现了明显的漏洞(如 Okta、HubSpot).
1900/1/1 0:00:00金色周刊是金色财经推出的一档每周区块链行业总结栏目,内容涵盖一周重点新闻、行情与合约数据、矿业信息、项目动态、技术进展等行业动态。本文是项目周刊,带您一览本周主流项目以及明星项目的进展.
1900/1/1 0:00:002021年被称为NFT元年,当年12月,“NFT”成为《柯林斯词典》2021年度热词榜首。截至2022年3月16日,NFT在其市场中的交易量超过5.61亿美元.
1900/1/1 0:00:00以太坊转向权益证明 (PoS) 的合并将是其迄今为止最重要的升级,重要性仅次于创世区块。它将向世界展示一个主流的去中心化的系统如何彻底消除碳足迹.
1900/1/1 0:00:00