DOGE:黑客四连击：Wiener DOGE, Last Kilometer, Medamon以及PIDAO项目被攻击事件分析

据CertiK安全团队监测，,WienerDOGE项目于北京时间2022年4月24日下午4时33分被恶意利用，造成了3万美元的损失。攻击者利用WDODGE的收费机制和交换池之间的不一致，发起了攻击。

事件发生的根本原因是：通过紧缩的代币合约造成发送方的LP对没有被排除在转账费用之外。因此，攻击者能够将LP对中的通货紧缩代币耗尽，进而导致货币对价格失衡。

而随后于同一天接连发生了另外三起恶意利用：

同天下午6时20分，LastKilometer项目被闪电贷攻击利用，造成了26495美元的损失；

同天晚上9时45分，Medamon项目被闪存贷攻击利用，造成3159美元的损失；

BAYC联创称正在遭遇黑客攻击，不要相信其发布的任何信息:7月11日消息，无聊猿BAYC联合创始人Garga.eth在个人社交媒体平台发文表示，有人正在频繁地试图黑我，不要相信任何来自我发布的信息。[2022/7/11 2:06:02]

紧接着，PI-DAO项目被闪存贷攻击利用，造成了6445美元的损失。

这一系列攻击的攻击者与攻击方法，与同一天早些时候发生的WienerDOGE相同。

WienerDOGE攻击流程

攻击者通过闪电贷获得了2900枚BNB。

攻击者将2900枚BNB换成了6,638,066,501,83枚WDOGE

Avalanche将举行首届亚洲黑客马拉松，奖金超过500万美元:1月24日消息，Avalanche雪崩协议宣布将在2月1日正式开启首届亚洲黑客马拉松活动，奖金池由AVATAR（Avalanche Asia Star Fund）、Blizzard Fund及行业上下游超过20多家机构提供，总计超过500万美元。同时部分赞助商及Avalaunch、Colony、BenQi等机构将作为评审支持。此次黑客马拉松旨在鼓励开发者探索Avalanche，包括DeFi、Web3、Metaverse、NFT、Gamefi等所有领域，全球各地项目均可参与。

DoraHacks是一个全球黑客马拉松组织，也是最活跃的Web3开发者社区之一。Avalanche雪崩协议是一个开发者友好、可定制化、安全可靠的高性能公链。[2022/1/24 9:10:07]

WdogE:199,177,850,468

分析 | 黑客掀起“夺宝”拉锯战 Fomo3D类游戏频受阻塞攻击:据PeckShield数据监测中心显示，8月23日，昨日Fomo3D 10,469个ETH的获得者“0xa169”，开始在多款类Fomo3D游戏（Last Winner、Peach Will、Super Card）上部署攻击合约。

在山寨Fomo3D（Peach Will）的交易列表里，0xa169至少发起了10次以上的阻塞攻击。由于该黑客通过提高gasprice独霸矿池打包权的攻击行为已经被曝光，每当其同时用15个钱包地址一并发出交易伺机拥堵以太坊网络时，就会有“竞争者”以更高的gasprice阻断其攻击合约实施拥塞控制。

PeckShield分析人员认为，这样已经严重损害了该类游戏的可玩性，使其沦为黑客间互相竞技的搏斗场。长此以往，会透支游戏公信力，加速Fomo3D类游戏的衰亡。[2018/8/23]

WBNB:2978

Bitfinex怀疑再次遭到黑客攻击:加密货币交易所Bitfinex表示，黑客可能正试图通过所谓的拒绝服务攻击阻止用户访问Bitfinex。Bitfinex周二在其网站上表示，“Bitfinex正处在超负荷的状态。团队正在调查这个问题，似乎DDoS攻击是在我们重新启动平台后不久发起的。明显的攻击是阻止用户访问本交易所。”今日早些时候，Bitfinex因进行“计划外”网站维护而暂停交易服务。[2018/6/5]

LP的状态：

将5,974,259,851,654枚WDOGE发送到LP，由于WDOGE比BNB多，所以LP现在处于不平衡状态。

WDOGE:5,178,624,112,169

WBNB:2978

LP的状态：

调用skim()函数，从LP中取回4,979,446,261,701枚WDOGE。由于攻击者在调用skim()之前发送了大量的WDOGE，所以LP将支付大量的费用。这一操作清空了LP内的WDOGE的数量。

攻击者还调用可sync()函数来更新LP内的储备值。若干枚WDOGE和2978枚BNB的存在，造成了WDOGE的价格与WBNB相比异常昂贵。

5.最后，攻击者用剩下的WDOGE换回了2978枚BNB，偿还了闪电贷，赚取了78枚BNB。

而其他几个项目被攻击的流程步骤也相似：

闪电贷取得WBNB，并用WBNB换取LP中的通缩代币；

直接将通缩的代币转移到LP对上；

调用skim()函数，迫使LP对输回通缩代币；

由于转让费的存在，攻击者会重复步骤2~3，将LP对中的通缩代币耗尽；

通过LP对中的价格不平衡来获取利润。

合约漏洞分析

当用户转移一定数量的WDOGE时，除了费用，还有4%的代币将被销毁。

因此，如果LP发送100枚WDOGE，其余额将减少104枚WDOGE。

所以，LP应该被排除在费用和代币销毁之外。

资产损失

审计的作用

CertiK审计专家认为：如果同时对代币和LP合约进行审计，这个漏洞就可能被发现。然而，如果只有代币合约被审计，那么交换机制将被视为一个外部依赖。而这种情况在审计过程中将会指出第三方依赖风险。具体为：如果是代币合约，CertiK审计专家将会与项目方讨论，确认是否需要除去LP对的手续费；如果是LP对方的合约，CertiK审计专家会提出通缩币的讨论，并且提醒项目方可能存在的风险。

作为区块链安全领域的领军者，CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止，CertiK已获得了3200家企业客户的认可，保护了超过3110亿美元的数字资产免受损失。

标签：DOGEDOGWDOWDOGFOOLSDOGELUCKYDOGE维度币wdoWDOGE

NEAR热门资讯