北京时间 2022 年 4 月 30 日,知道创宇区块链安全实验室 监测到 BSC 链上的 bDollar 项目遭到价格操纵攻击,导致损失约 73 万美元。
知道创宇区块链安全实验室 第一时间跟踪本次事件并分析。
攻击者地址:0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e
攻击合约:0x6877f0d7815b0389396454c58b2118acd0abb79a
Ripple高管:公司正与20多家央行就CBDC进行对话:3月1日消息,Ripple中东地区董事总经理Brooks Entwistle在采访中谈到了该公司在央行数字货币(CBDC)领域的努力和目标,并透露了一些细节。这位高管解释说,与世界各地监管机构的互动是“无价的”。与美国不同,“新加坡、东京、瑞士和英国”的监管机构欢迎对话,并参与圆桌讨论。
据此前报道,CBDC是Ripple在2023年的重点,Entwistle重申了这一点,并将公司介绍为央行和当局可以寻求助力的解决方案提供商。
虽然一些国家在这方面已经很先进,但还有许多新兴市场规模较小,资源较少,并且还有其他问题,Ripple可以在这些问题上发挥重要作用。在这种情况下,Entwistle透露,Ripple已经与20多家央行进行了对话。(Bitcoinist)[2023/3/1 12:36:34]
tx:0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4
三箭联创:计划与所有债权人公开对话,以找到更好的办法:12月3日消息,三箭资本联合创始人Kyle Davies发推表示,我们的清算人似乎拒绝与我们进行建设性的接触。几个月过去了,银行账户里有现金,最低限度地出售资产,但仍没有向债权人支付任何款项。让我们与所有债权人公开对话,以找到更好的办法。[2022/12/3 21:20:14]
CommunityFund 合约:0xEca7fC4c554086198dEEbCaff6C90D368dC327e0
漏洞关键在于 CommunityFund 合约中的 claimAndReinvestFromPancakePool 方法在使用 Cake 代币进行代币转换时,会对换取的 WBNB 数量进行判断并且会自动把换取的 WBNB 的一半换为 BDO 代币;而之后合约会自动使用合约中的 WBNB 为池子添加流动性,若此时 BDO 代币的价值被恶意抬高,这将导致项目方使用更多的 WBNB 来为池子添加流动性。
SBF:FTX很高兴与 FSCA 合作,双方已开始对话:金色财经报道,2月2日,据FTX创始人SBF在推特上透露:“FTX很高兴与南非金融部门行为监管局(FSCA)合作,并感谢他们让我们注意到这一点。我们不知道 FSCA 有任何外展活动,但很高兴与 FSCA 合作以遵守监管要求,目前已经联系开始对话。”据此前金十报道称,南非加密货币交易者警告称不要使用交易平台FTX和BYBIT,另外去年九月南非金融部门行为监管局曾发布警告要求公众在与 BINANCE GROUP 打交道时保持谨慎和警惕,因为根据 2002 年《金融咨询和中介服务法》(FAIS 法),BINANCE GROUP没有获得在该国提供金融服务的许可无权在南非提供金融建议或中介服务。[2022/2/3 9:28:35]
币信对话Nic Carter:区块链更像是批发网络 而不是零售网络:币信全球商务拓展总监在币信直播间对话Coin Metrics创始人Nic Carter,探讨早期互联网发展和比特币发展。Nic Carter表示:我认为主要区别在于这是一场货币革命,而互联网是一场通信革命。在全球范围内,资本第一次真正变得无摩擦。这是一个巨大的变化。我认为这最终将杀死最弱的主权货币,因为它们会选择更坚挺的货币(例如美元)并拒绝本国货币,就像厄瓜多尔那样。比特币是一种非国家货币商品,如果人们选择它,它有可能成为中立的全球储备资产。互联网在其历史的大部分时间内还是一场面向消费者的革命,而我想说的是,公共区块链更像是批发网络,而不是零售网络。从根本上讲,普通用户很难存储私钥并且安全地进行交易。因此,我们看到了行业中出现大量中间媒介。我认为大多数用户最终都将通过银行、交易所或托管人与公共区块链进行交互。但是无论如何,他们将从这些资产中获得全部价值。[2020/7/3]
而最为关键的是,攻击者实施攻击前,在 WBNB/BDO、Cake/BDO、BUSD/BDO 池子中换取了大量 BDO 代币导致 BDO 价格被抬高。
在我们对攻击交易进行多次分析之后,发现事情并没有那么简单,该次攻击极有可能是被抢跑机器人抢跑交易了,依据如下:
1、该笔攻击交易比 BSC 链上普通交易 Gas 费高很多,BSC 链上普通交易默认 Gas 费为 5Gwei,而该笔交易竟高达 2000Gwei。
2、我们发现该攻击合约与攻击者地址存在多笔抢跑交;
3、我们在相同区块内找寻到了真实攻击者的地址与交易,该交易被回滚了。
1、攻击者使用闪电贷贷款 670 枚 WBNB;
2、之后攻击者将 WBNB 在各个池子中换取大量 BDO 代币;
3、随后攻击者再次使用闪电贷贷款 30516 枚 Cake 代币;
4、将贷款的 Cake 代币进行 swap,换取 400WBNB,其中 200 枚被协议自动换取为 BDO 代币;
5、攻击者将 WBNB 换取 Cake 代币用于归还闪电贷;
6、最后,攻击者将升值后的 3,228,234 枚 BDO 代币换取 3020 枚WBNB,还款闪电贷 671 枚,成功套利 2381 枚 WBNB 价值约 73 万美元。
本次攻击事件核心是合约会为流动性池自动补充流动性,而未考虑代币价格是否失衡的情况,从而导致项目方可能在价格高位对流动性进行补充,出现高价接盘的情况。
建议项目方在编写项目时多加注意函数的逻辑实现,对可能遇到的多种攻击情况进行考虑。
在此提醒项目方发布项目后一定要将私钥严密保管,谨防网络钓鱼,另外,近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。