WDOG:黑客四连击：Wiener DOGE, Last Kilometer, Medamon以及PIDAO项目被攻击事件分析

据CertiK安全团队监测，,WienerDOGE项目于北京时间2022年4月24日下午4时33分被恶意利用，造成了3万美元的损失。攻击者利用WDODGE的收费机制和交换池之间的不一致，发起了攻击。

事件发生的根本原因是：通过紧缩的代币合约造成发送方的LP对没有被排除在转账费用之外。因此，攻击者能够将LP对中的通货紧缩代币耗尽，进而导致货币对价格失衡。

而随后于同一天接连发生了另外三起恶意利用：

同天下午6时20分，LastKilometer项目被闪电贷攻击利用，造成了26495美元的损失；

同天晚上9时45分，Medamon项目被闪存贷攻击利用，造成3159美元的损失；

InsurAce：已重新获得Discord控制权，正在追踪黑客:8月3日消息，DeFi保险协议InsurAce官方在社交媒体上发文表示，已重新获得Discord控制权。此外，团队已向有关当局报告此次事件，并正在追踪黑客。

此前报道，8月2日，DeFi保险协议InsurAce官方在社交媒体上发文表示，其Discord服务器目前存在安全漏洞。[2023/8/3 16:16:17]

紧接着，PI-DAO项目被闪存贷攻击利用，造成了6445美元的损失。

这一系列攻击的攻击者与攻击方法，与同一天早些时候发生的WienerDOGE相同。

WienerDOGE攻击流程

Web3音乐项目Melody遭黑客攻击，漏洞现已修复:10月25日消息，Web3音乐项目Melody合约于北京时间凌晨一点受到黑客攻击，代币SNS被盗，价格一度下跌35%。Melody团队宣布于北京时间凌晨两点修复漏洞，表示已经联合抹茶交易所冻结黑客资产，并于早上10点恢复提币功能。

SNS代币价格回升，目前报价0.09美元，24h涨幅为50%。[2022/10/25 16:38:10]

攻击者通过闪电贷获得了2900枚BNB。

攻击者将2900枚BNB换成了6,638,066,501,83枚WDOGE

WdogE:199,177,850,468

Solana Riptide黑客松已正式启动，总奖金达500万美元:2月3日消息，Solana Ventures宣布推出第五届Solana Riptide黑客松，比赛时间为2022年2月2日至3月17日，任何有兴趣在Solana区块链开发项目的用户都可以注册参与。本届Riptide黑客松将专注于鼓励支付、DeFi、Web3、游戏和DAO领域的新项目，本轮黑客松的建设者将会获得规模更大的Solana社区会谈、研讨会、资源和支持。

除一系列线上活动外，Solana基金会还在多个地区（洛杉矶、西雅图、新加坡、迪拜、莫斯科、香港和布拉格等）赞助了Solana Hacker Houses，以便Riptide参与者亲自到现场进行开发。Hacker House为建设者提供了工作、寻找队友、向Solana生态知名开发者学习的机会和场地。[2022/2/3 9:29:10]

WBNB:2978

动态 | 多款EOS DApp遭黑客新型交易memo攻击:近日，PeckShield安全盾风控平台DAppShield监测到3款EOS竞猜类DApp遭到新型交易memo攻击， 共计损失12,883个EOS。PeckShield安全人员初步分析认为：黑客通过精心构造投注交易的memo，导致游戏方服务器解析异常，从而持续中奖或导致异常大额退款。PeckShield安全人员在此提醒，开发者应在合约上线前做好安全测试，尤其是加强异常数据的处理，必要时可寻求第三方安全公司协助，帮助其完成合约上线前攻击测试及基础安全防御部署。[2019/4/29]

LP的状态：

将5,974,259,851,654枚WDOGE发送到LP，由于WDOGE比BNB多，所以LP现在处于不平衡状态。

WDOGE:5,178,624,112,169

WBNB:2978

LP的状态：

调用skim()函数，从LP中取回4,979,446,261,701枚WDOGE。由于攻击者在调用skim()之前发送了大量的WDOGE，所以LP将支付大量的费用。这一操作清空了LP内的WDOGE的数量。

攻击者还调用可sync()函数来更新LP内的储备值。若干枚WDOGE和2978枚BNB的存在，造成了WDOGE的价格与WBNB相比异常昂贵。

5.最后，攻击者用剩下的WDOGE换回了2978枚BNB，偿还了闪电贷，赚取了78枚BNB。

而其他几个项目被攻击的流程步骤也相似：

闪电贷取得WBNB，并用WBNB换取LP中的通缩代币；

直接将通缩的代币转移到LP对上；

调用skim()函数，迫使LP对输回通缩代币；

由于转让费的存在，攻击者会重复步骤2~3，将LP对中的通缩代币耗尽；

通过LP对中的价格不平衡来获取利润。

合约漏洞分析

当用户转移一定数量的WDOGE时，除了费用，还有4%的代币将被销毁。

因此，如果LP发送100枚WDOGE，其余额将减少104枚WDOGE。

所以，LP应该被排除在费用和代币销毁之外。

资产损失

审计的作用

CertiK审计专家认为：如果同时对代币和LP合约进行审计，这个漏洞就可能被发现。然而，如果只有代币合约被审计，那么交换机制将被视为一个外部依赖。而这种情况在审计过程中将会指出第三方依赖风险。具体为：如果是代币合约，CertiK审计专家将会与项目方讨论，确认是否需要除去LP对的手续费；如果是LP对方的合约，CertiK审计专家会提出通缩币的讨论，并且提醒项目方可能存在的风险。

作为区块链安全领域的领军者，CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止，CertiK已获得了3200家企业客户的认可，保护了超过3110亿美元的数字资产免受损失。

标签：DOGDOGEWDOWDOGBDOGE币spacedoge币怎么买towdogecoinWDOG价格

POL币最新价格热门资讯