BNB:Bogged Finance攻击事件分析

据官方tg群消息，北京时间5月22日晚BoggedFinance项目遭遇闪电贷攻击，随后BOG代币价格断崖式下跌。

知道创宇区块链

安全

实验室

第一时间跟进分析本次安全事件。

以造成本次闪电贷攻击的其中一笔交易为例，对应具体交易hash如下：0x47a355743456714d9abc23e1dff9e26430e38e84cc8b8e0a0b4ca475918f3475

LBank蓝贝壳于4月10日01:00首发 BOSON，开放USDT交易:据官方公告，4月10日01:00，LBank蓝贝壳首发BOSON(Boson Protocol)，开放USDT交易，4月9日23:00开放充值，4月12日16:00开放提现。上线同一时间开启充值交易BOSON瓜分10,000 USDT。

LBank蓝贝壳于4月10日01:00开启充值交易BOSON瓜分10,000 USDT。用户净充值数量不少于1枚BOSON ，可按净充值量获得等值1%的BOSON的USDT奖励；交易赛将根据用户的BOSON交易量进行排名，前30名可按个人交易量占比瓜分USDT。详情请点击官方公告。[2021/4/7 19:54:33]

黑客地址0x4622A1f3d05DcF5A0589c458136C231009B6A207通过攻击合约0xe576790f35A8cC854d45b9079259Fe84F5294e07进行闪电贷攻击，通过调用攻击合约中攻击函数，传入参数15000000000000000000000，通过BankController合约进行闪电借贷15000BNB，通过WBNB合约兑换后开始进行套利攻击。

BTC36 CLUB 与国际基金 SIGMA BOND 达成战略合作:据官方消息，BTC36 CLUB与国际基金SIGMA.BOND 达成战略合作，双方将在加密数字货币期货市场继续展开更密切的合作。

据了解，BTC36 CLUB是一家专注投资于比特币期货合约的国际基金，其拥有强大的操作团队。据2019年至今的1年数据显示，BTC36 CLUB的利润已突破30亿美金。

此次与管理规模达70亿美金的国际基金 SIGMA BOND 合作，将放眼开拓更大的国际市场。成立初期以散户为主的BTC36 CLUB将逐步转向机构客户市场为导向，放眼以更具有竞争力的合约产品攻入市场。官方表示：“迪拜皇室基金近期也将投入高达5亿美金认购此合约产品。目前BTC36 CLUB只与美国的大型交易所合作，暂时并无与国内的任何一家交易所拥有业务上的合作。”[2020/11/30 22:33:14]

本次闪电贷攻击主要是由于BoggedFinance合约中_transferFrom函数中利用_txBurn函数出现逻辑漏洞，代币合约对所有交易应当收取5%的交易额作为交易费用来销毁，其中4%分红给lp提供者，1%被烧毁，但在_transferFrom函数中未校验转账地址，允许向自己转账，在自我转账的过程中，仅扣除1%手续费，而包括攻击者在内的lp提供者获得4%的分红奖励，所以攻击者可以通过添加大量流动性进行流动性挖矿，并且反复自我转账获利，最终移除流动性从而完成攻击过程。

动态 | 推特封杀XRP Tip Bot帐户 称其违反推特规定:据The Daily Hodl 1月24日消息，推特封杀了XRP Tip Bot，该机器人该允许用户通过发送一系列命令来互相发送XRP，旨在为用户提供一种简单的方式来奖励彼此并支持内容创建者。推特称@xrptipbot违反了推特的规定。当帐户持有人要求对此进行澄清时，Twitter回应说，帐户将不会被恢复。[2020/1/25]

通过查看浏览器交易显示，攻击者在该笔交易中分4次将1298.20BNB、1489.05BNB、1707.95BNB、1959.03BNB在PancakeSwap中兑换为47770BOG，并用共计8434.07BNB和281174.22BOG在PancakeSwap的BNB-BOG池中添加流动性

如下图所示，攻击者在该笔交易中通过以下5笔交易将如下所示数量的WBNB与BOG添加流动性并将所获得的流动性代币进行抵押挖矿。

图1添加流动性并进行你抵押挖矿为多次转账准备

随后，攻击者通过攻击合约多次进行自我转账，进行获利。

图2反复自我转账

最后，攻击者通过Nerve

跨链

桥将它们分批次转换为

ETH

进行套现后移除流动性，返还闪电贷完成本次攻击。

图3移除流动性

图4返还闪电贷

在攻击发生后，项目社区内疑似管理员身份发布了相关通知，且现合约中已关停相关手续费收取功能，对应的_burnRate被设置为0，不存在套利空间。

图5社群通知

图6关闭手续费收取功能

最近BSC链上接连发生闪电贷攻击事件，随着链上

DeFi

生态的飞速发展，攻击事件频频爆发。高级复杂的闪电贷攻击手法，已经在以太坊生态中上演过很多次。可见，随着其他链上DeFi生态的发展，攻击者已逐渐将攻击目标扩大到其他链的DeFi生态，DeFi安全问题也越来越需要被重视。

标签：BNBBOSONBOSSONtogetherbnb薇拉能上吗Boson ProtocolDOGBOSS币SONG币

BNB热门资讯