HyperLab 安全实验室 | DAO Officials被盗事件分析_HYPE:USD

0x1事件背景

Hyperlab区块链安全实验室情报平台监控到消息，北京时间2022年9月5日BNBChain上的DAOOfficials项目遭到闪电贷攻击。Hyperlab安全团队及时对此安全事件进行分析。

0x2攻击者信息

攻击者钱包(SpaceGodillaExploiter)：

?0x00a62EB08868eC6fEB23465F61aA963B89e57e57

攻击者合约：

Tether、Bitfinex和Hypercore合作推出点对点通信应用Keet:金色财经消息，Tether、Bitfinex与Hypercore开源协议团队合作推出基于底层技术Holepunch的点对点（P2P）加密通信应用Keet。目前该应用为Alpha版本，正式版本预计将于2022年11月推出。

Keet仅可在通话参与者之间共享端到端加密数据，视频通过直接连接进行操作，而无需使用限制性能的服务器，另外，在Keet共享文件时不必等待上传，其他点对点参与者可以立即从源下载。此外，Keet还内置比特币闪电和USDT小额付款。（Cointelegraph）[2022/7/25 2:36:25]

0xb2d7d06b67e67b8a3acb281d1f9aaa2716f28bbb

HyperBC Farm 12月4日数据播报:截止12月4日15点，HyperBC Farm平台质押总资产为$1,396,792,HBT-USDT资金池规模为$112,573；当前HBT价格为0.013692USDT，24h涨跌幅为1.7%。 当前HyperBC Farm主流币单币种挖矿支持币种为DASH、QTUM、HPY、HC，其中收益最高的的是DASH ；双币种抵押为HBT-USDT。

HBT（HyperBC Token）是HyperBC发行的去中心化加密资产，是流通于HyperBC生态中的权益通证，其发行目的是帮助加密货币理财参与者进行价值储藏、价值流通和价值寻找。HBT是基于以太坊发行的ERC20通证，总量10亿枚，只能通过参与HyperBC金融生态中的加密资产挖矿、借贷、保险等业务获取，无预挖，无众筹。[2020/12/4 13:59:10]

攻击交易：

区块链联盟Hyperledger成员削减财务支持 甚至干脆退出组织:根据路透社的文件，超过15个区块链联盟Hyperledger的成员在过去几个月中选择削减对联盟的财务支持，或者干脆退出组织。根据周五召开的董事会会议报告，CME集团和德意志交易所已决定从2018年1月底开始，降低对联盟的财务支持，会员资格降为普通会员。[2017/12/17]

0x414462f2aa63f371fbcf3c8df46b9a64ab64085ac0ab48900f675acd63931f23

0x6c859ae624002e07dac39cbc5efef76133f8af5d5a4e0c42ef85e47d51f82ae0

0x3b1d631542eb91b5734e3305be54f305f26ab291b33c8017a73dcca5b0c32a1b

0xa7fdefcd80ba54d2e8dd1ab260495dca547993019d90f7885819bb4670b65bad

0xf1368418344e21a1a09a2c1770ea301bf109ca3b387a59a79242a27d709195a7

0x8eb87423f2d021e3acbe35c07875d1d1b30ab6dff14574a3f71f138c432a40ef

漏洞合约：

0xea41bbd80ac69807289d0c4f6582ab73e96834d0

0x3攻击分析

攻击者主要的攻击交易流程(以其中一个攻击交易为例)：

第一步:从闪电贷分批多次借贷大额BSC-USD

第二步:将2,188,176.667枚?BSC-USD转换成?309,928.963枚DAO

第三步:将309,928.963枚?DAO?换取成?1928505枚BSC-USD

第四步:归还多次借贷大额BSC-USD后，剩余的24088枚BSC-USD转到攻击者钱包中。

攻击者重复以上攻击行为，在多笔攻击交易成功后最终获利逾50万美元。

0x4漏洞细节

HyperLab安全团队正在分析攻击者赚取DAO发放的奖励合约逻辑漏洞，详情将在后续文章中披露。

0x5资金流向

目前黑客获利的?582,031枚BSC-USD仍在其钱包地址中。

0x6总结

HyperLab安全团队认为此次攻击事件发生的主要原因在于闪电贷的奖励合约的逻辑漏洞。攻击者利用此漏洞进行多次重复赚取DAO发放的奖励。经检查，此奖励合约并没有经过安全审计。HyperLab建议任何合约上线前应进行全面的安全审计，将可能发生的安全风险规避掉。

来源：金色财经

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。