USD:HyperLab 安全实验室 | DAO Officials被盗事件分析

0x1事件背景

Hyperlab区块链安全实验室情报平台监控到消息，北京时间2022年9月5日BNBChain上的DAOOfficials项目遭到闪电贷攻击。Hyperlab安全团队及时对此安全事件进行分析。

0x2攻击者信息

攻击者钱包(SpaceGodillaExploiter)：

?0x00a62EB08868eC6fEB23465F61aA963B89e57e57

攻击者合约：

Tokens.com子公司收购NFT平台CocoNFT:金色财经报道，专注于投资Web3加密资产、元宇宙和NFT业务的上市公司Tokens.com宣布，其子公司Metaverse Group已收购NFT平台CocoNFT。

作为收购的一部分，CocoNFT联合创始人Mark Allen、Brody Berson将加入Metaverse Group团队，分别担任首席技术官和首席产品官。（Businesswire）[2023/1/3 9:49:50]

0xb2d7d06b67e67b8a3acb281d1f9aaa2716f28bbb

6月Solana链上NFT销售量近170万笔，创2021年8月以来最高记录:金色财经报道，据cryptoslam数据显示，在刚刚过去的6月中，Solana链上NFT销售额仅为1.03亿美元，创过去11个月以来的最低纪录。自2021年8月以来，Solana链上NFT销售额最高记录发生在今年一月，当时交易额为299,419,009.15美元。不过，6月Solana链上NFT销售量却达到1,697,912笔，创下自2021年8月以来的最高纪录，此外5月Solana链上NFT销售额为1,227,362笔，创过去11个月以来第二高交易量记录。[2022/7/2 1:45:51]

攻击交易：

加密矿企Hive出售约10000个以太坊用来支付英特尔挖矿设备的费用:金色财经报道，加密矿企 Hive Blockchain (HIVE) 出售了大约 10,000 个以太坊 (ETH)，用来支付英特尔 (INTC) 比特币挖矿设备的费用，因为大多数矿工开始出售他们开采的一些数字资产来支付费用他们的运营成本。该矿企将继续不时出售以太币，为公司的长期比特币（BTC）挖矿目标提供资金。

Hive 表示，由于该公司仍在扩大其以太坊采矿能力，它将寻求在不久的将来取代其出售的以太坊。\u2028Hive 预计将在本月测试英特尔的采矿设备，原型生产预计将在夏末进行，大规模生产计划于今年秋季推出。Hive 是首批接收英特尔第二代比特币专用挖矿芯片的矿工之一，该芯片比大多数竞争对手的效率更高。[2022/6/7 4:07:11]

0x414462f2aa63f371fbcf3c8df46b9a64ab64085ac0ab48900f675acd63931f23

0x6c859ae624002e07dac39cbc5efef76133f8af5d5a4e0c42ef85e47d51f82ae0

0x3b1d631542eb91b5734e3305be54f305f26ab291b33c8017a73dcca5b0c32a1b

0xa7fdefcd80ba54d2e8dd1ab260495dca547993019d90f7885819bb4670b65bad

0xf1368418344e21a1a09a2c1770ea301bf109ca3b387a59a79242a27d709195a7

0x8eb87423f2d021e3acbe35c07875d1d1b30ab6dff14574a3f71f138c432a40ef

漏洞合约：

0xea41bbd80ac69807289d0c4f6582ab73e96834d0

0x3攻击分析

攻击者主要的攻击交易流程(以其中一个攻击交易为例)：

第一步:从闪电贷分批多次借贷大额BSC-USD

第二步:将2,188,176.667枚?BSC-USD转换成?309,928.963枚DAO

第三步:将309,928.963枚?DAO?换取成?1928505枚BSC-USD

第四步:归还多次借贷大额BSC-USD后，剩余的24088枚BSC-USD转到攻击者钱包中。

攻击者重复以上攻击行为，在多笔攻击交易成功后最终获利逾50万美元。

0x4漏洞细节

HyperLab安全团队正在分析攻击者赚取DAO发放的奖励合约逻辑漏洞，详情将在后续文章中披露。

0x5资金流向

目前黑客获利的?582,031枚BSC-USD仍在其钱包地址中。

0x6总结

HyperLab安全团队认为此次攻击事件发生的主要原因在于闪电贷的奖励合约的逻辑漏洞。攻击者利用此漏洞进行多次重复赚取DAO发放的奖励。经检查，此奖励合约并没有经过安全审计。HyperLab建议任何合约上线前应进行全面的安全审计，将可能发生的安全风险规避掉。

来源：金色财经

标签：NFTBSCUSDHIVUWU Vault (NFTX)BSCV价格GUSD币CHIV币

比特币最新价格热门资讯