WEB3:创宇区块链｜bDollar 项目遭受攻击 价格如何能成为一把利器

北京时间 2022 年 4 月 30 日，知道创宇区块链安全实验室 监测到 BSC 链上的 bDollar 项目遭到价格操纵攻击，导致损失约 73 万美元。

知道创宇区块链安全实验室 第一时间跟踪本次事件并分析。

攻击者地址：0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e

攻击合约：0x6877f0d7815b0389396454c58b2118acd0abb79a

观点：开发人员对以太坊L2解决方案Arbitrum和Optimism的兴趣显着增加:金色财经报道，专家指出，开发人员对以太坊L2解决方案Arbitrum和Optimism的兴趣显着增加。Arbitrum的份额从0.9%跃升至4.5%，Optimism的份额从1.2%跃升至1.5%。Fantom生态系统开始扮演不那么突出的角色。该网络已验证智能合约数量占总指标的比例从3.3%下降至1.4%。行业层面，Polygon和Avalanche区块链正在发展，市场份额分别在10-12%和2.2-2.7%区间波动。[2023/8/4 16:18:45]

tx：0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4

Revolut在美国市场下架ADA、MATIC和SOL:金色财经报道，在6月28日发送给美国用户的电子邮件中，英国金融科技公司Revolut宣布将终止对三种主要加密货币的支持。该公司表示，美国用户将无法通过其应用程序购买Cardano?(ADA)、Polygon?(MATIC) 和Solana (SOL)，立即生效。

在稍后的未指定日期，用户将无法再持有或出售这些加密货币。该日期之后，Revolut将自动出售代币并将等值现金存入每个用户的Revolut账户。[2023/6/30 22:09:39]

CommunityFund 合约：0xEca7fC4c554086198dEEbCaff6C90D368dC327e0

Web3域名联盟宣布51个新成员，包括Blockchain.com、Rarible等:金色财经报道，Web3域名联盟（Web3 Domain Alliance）宣布51个新成员，包括Blockchain.com、Rarible、Wyre、Bitdegree、WazirX和Klever。

据悉，Web3域名联盟旨在为Web3域名服务提供标准化框架，为Web3域名服务的用户改善技术和公共政策环境。随着新成员的加入，该联盟表示将专注于消费者保护、防止域名冲突、行业知识产权的公平和公开使用以及区块链域名系统的互操作性等主题。（Cointelegraph）[2023/2/23 12:25:24]

漏洞关键在于 CommunityFund 合约中的 claimAndReinvestFromPancakePool 方法在使用 Cake 代币进行代币转换时，会对换取的 WBNB 数量进行判断并且会自动把换取的 WBNB 的一半换为 BDO 代币；而之后合约会自动使用合约中的 WBNB 为池子添加流动性，若此时 BDO 代币的价值被恶意抬高，这将导致项目方使用更多的 WBNB 来为池子添加流动性。

Genesis提出退出路线图，拟建立信托作为全球索赔解决方案:金色财经报道，已申请破产重组的机构加密货币借贷经济公司 Genesis Global Holdco 及其两家贷款业务子公司提出了一份退出路线图，包括通过建立一个信托来解决全球所有索赔问题并将资产分配给债权人，同时考虑采用双轨流程来寻求出售、融资和/或证券化交易。

此外，Genesis 还将启动营销和销售流程，将其资产货币化或以其他方式筹集资金，使用交易所得公平公正地支付债权人。如果营销过程未实现出售或融资，债权人将获得重组后 Genesis Global Holdco 公司的所有权，重组过程的所有方面都将由公司董事会的一个独立特别委员会监督。[2023/1/20 11:23:50]

而最为关键的是，攻击者实施攻击前，在 WBNB/BDO、Cake/BDO、BUSD/BDO 池子中换取了大量 BDO 代币导致 BDO 价格被抬高。

在我们对攻击交易进行多次分析之后，发现事情并没有那么简单，该次攻击极有可能是被抢跑机器人抢跑交易了，依据如下：

1、该笔攻击交易比 BSC 链上普通交易 Gas 费高很多，BSC 链上普通交易默认 Gas 费为 5Gwei，而该笔交易竟高达 2000Gwei。

2、我们发现该攻击合约与攻击者地址存在多笔抢跑交；

3、我们在相同区块内找寻到了真实攻击者的地址与交易，该交易被回滚了。

1、攻击者使用闪电贷贷款 670 枚 WBNB；

2、之后攻击者将 WBNB 在各个池子中换取大量 BDO 代币；

3、随后攻击者再次使用闪电贷贷款 30516 枚 Cake 代币；

4、将贷款的 Cake 代币进行 swap，换取 400WBNB，其中 200 枚被协议自动换取为 BDO 代币；

5、攻击者将 WBNB 换取 Cake 代币用于归还闪电贷；

6、最后，攻击者将升值后的 3,228,234 枚 BDO 代币换取 3020 枚WBNB，还款闪电贷 671 枚，成功套利 2381 枚 WBNB 价值约 73 万美元。

本次攻击事件核心是合约会为流动性池自动补充流动性，而未考虑代币价格是否失衡的情况，从而导致项目方可能在价格高位对流动性进行补充，出现高价接盘的情况。

建议项目方在编写项目时多加注意函数的逻辑实现，对可能遇到的多种攻击情况进行考虑。

在此提醒项目方发布项目后一定要将私钥严密保管，谨防网络钓鱼，另外，近期，各类合约漏洞安全事件频发，合约审计、风控措施、应急计划等都有必要切实落实。

标签：BDOWBNBBNBWEB3shibdoge币市值wbnb和bnb区别XMASBNB币web3域名值钱吗

火币网下载官方app热门资讯