DOG:黑客四连击，近期项目被攻击事件分析-ODAILY

北京时间2022年4月24日下午4时33分，CertiK审计团队监测到WienerDOGE项目被恶意利用，造成了3万美元的损失。攻击者利用WDODGE的收费机制和交换池之间的不一致，发起了攻击。

事件发生的根本原因是：通过紧缩的代币合约造成发送方的LP对没有被排除在转账费用之外。因此，攻击者能够将LP对中的通货紧缩代币耗尽，进而导致货币对价格失衡。

而随后于同一天内接连发生了另外三起恶意利用：

首届Substrate开发者黑客马拉松创业大赛结束:3月20日-21日，Polkadot Hackathon在上海长宁举办。这是首届Substrate开发者黑客马拉松创业大赛，33个战队、50天的充足线上备赛、36小时现场Hacking，基于Substrate框架进行开发和创造产品原型。来自北京、深圳、上海、杭州、南京、成都、香港、西雅图等地开发者组成的21个队伍晋级线下DemoDay决赛。Apron Network获得一等奖，奖金80000元。InkBridge、Deeper Network获得二等奖，奖金40000元。Parallel、SkyePass获得三等奖，奖金20000元。Web3Games获得最受开发者欢迎奖，Deeper Network获得最受社区欢迎奖。

此外，IOSG创始人Jocy宣布正式开启开发者资助计划，欢迎各位早期个人开发者和团队给IOSG Post代码和opensource的创业想法，IOSG将提供10万美元以内的资助和支持。（一块Plus社区）[2021/3/23 19:09:43]

下午6时20分，LastKilometer项目被闪电贷攻击利用，造成了26495美元的损失；

Origin称OUSD黑客攻击主要由合约中重入漏洞引发:去中心化共享经济协议OriginProtocol（OGN）联合创始人MatthewLiu更新关于“稳定币OUSD遭受攻击”一事称，“团队在采取措施以追回资金，包括与交易所以及其他第三方合作，以识别出黑客地址，并对资金进行冻结。黑客同时使用TornadoCash和renBTC来进行和转移资金，目前，黑客钱包中还有7137枚ETH和224.9万枚DAI。此次攻击是由合约中的一个重入漏洞（reentrancybug）引发。团队将在未来几天内采取措施，试图弥补用户资金，还将讨论OUSD持有者的补偿计划。”据此前报道，OUSD因此次攻击事件造成700万美元损失。Origin提醒称，“目前已禁用了vault存款，请不要在Uniswap或Sushiswap上购买OUSD。”[2020/11/17 21:03:47]

晚上9时45分，Medamon项目被闪存贷攻击利用，造成3159美元的损失；

动态 | PeckShield安全播报: 竞猜游戏EOS Lelego疑遭黑客攻击，已暂停运营:据PeckShield态势感知平台数据显示：今天午间 13:27-13:56之间，玩家malisringhor向EOS Lelego游戏合约（llgcontract1）连续发起35次游戏请求，最终猜中27次，共计获利6,282.5个EOS，随后将6,500个EOS成功转至币安交易所。PeckShield安全人员初步分析认为，该玩家的下注频次及猜中概率存在较大异常，很可能又是一起利用随机数漏洞发起的攻击行为。游戏方在察觉异常后第一时间调用接口setfreeze暂停游戏及时止损，现游戏网站已显示系统维护中。[2018/11/19]

紧接着，PI-DAO项目被闪存贷攻击利用，造成了6445美元的损失。

北韩黑客组织拉撒路集团 正在针对加密货币公司的高管进行一场矛盾钓鱼攻势:北韩黑客组织拉撒路集团（Lazarus Group）正在针对加密货币公司的高管进行一场矛盾钓鱼攻势。北韩的网络钓鱼也可以被看作是一种数百年的军事战术，即所谓的“ 私底下”。曾几何时，这种策略采取了国王和王后授予商品的信件的形式，允许私人在海洋中漫游，并从敌方商船中掠夺战利品。今天，北韩正在允许黑客作为数字私人经营者寻找像比特币一样的加密货币掠夺行为。[2017/12/18]

这一系列攻击的攻击者与攻击方法，与同一天早些时候发生的WienerDOGE相同。

攻击步骤

①攻击者通过闪电贷获得了2900枚BNB。

②攻击者将2900枚BNB换成了6,638,066,501,83枚WDOGE。

●LP的状态：

○WdogE:199,177,850,468

○WBNB:2978

③将5,974,259,851,654枚WDOGE发送到LP，由于WDOGE比BNB多，所以LP现在处于不平衡状态。

●LP的状态：

○WDOGE:5,178,624,112,169

○WBNB:2978

④调用skim()函数，从LP中取回4,979,446,261,701枚WDOGE。由于攻击者在调用skim()之前发送了大量的WDOGE，所以LP将支付大量的费用。这一操作清空了LP内的WDOGE的数量。

攻击者还调用可sync()函数来更新LP内的储备值。若干枚WDOGE和2978枚BNB的存在，造成了WDOGE的价格与WBNB相比异常昂贵。

⑤最后，攻击者用剩下的WDOGE换回了2978枚BNB，偿还了闪电贷，赚取了78枚BNB。

而其他几个项目被攻击的流程步骤也相似：

闪电贷取得WBNB，并用WBNB换取LP中的通缩代币；

直接将通缩的代币转移到LP对上；

调用skim()函数，迫使LP对输回通缩代币；

由于转让费的存在，攻击者会重复步骤2~3，将LP对中的通缩代币耗尽；

通过LP对中的价格不平衡来获取利润。

漏洞分析

当用户转移一定数量的WDOGE时，除了费用，还有4%的代币将被销毁。

因此，如果LP发送100枚WDOGE，其余额将减少104枚WDOGE。

所以，LP应该被排除在费用和代币销毁之外。

资产去向

写在最后

如果同时对代币和LP合约进行审计，这一风险因素就可以被发现。

然而，如果只有代币合约被审计，那么交换机制将被视为一个外部依赖。

而这种情况在审计过程中将会指出第三方依赖风险。具体为：如果是代币合约，CertiK审计专家将会与项目方讨论，确认是否需要除去LP对的手续费；如果是LP对方的合约，CertiK审计专家会提出通缩币的讨论，并且提醒项目方可能存在的风险。

标签：DOGDOGEWDOWDOGEDOGE1价格DOGEGIVINGwdo币兑换人民币是多少towdogecoin

火币APP下载热门资讯