遭受價格操控攻擊損失約73萬美元:bDollar被攻擊事件分析
2022年5月21日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示, bDollar項目遭受價格操控攻擊,攻擊者獲利2381WBNB(價值約73萬美元)。成都鏈安技術團隊第一時間對事件進行了分析,結果如下。
#1 項目相關信息
由 Bearn.fi 提供的 bDollar 是幣安智能鏈上的第一個算法穩定幣,它可以確定性地調整其供應量,將代幣的價格向目標價格方向移動,從而為 DeFi 帶來可編程性和互操作性。
#2 事件相關信息
攻擊交易
0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4
攻擊者地址
0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e
攻擊合約
0x6877f0d7815b0389396454c58b2118acd0abb79a
被攻擊合約
0xeaDa3d1CCBBb1c6B4C40a16D34F64cb0df0225Fd
攻擊流程
1、通過閃電貸借出670WBNB。
2、 將其分成多份分別轉入到WBNB/BDO、BUSD/BDO等多個池子進行兌換,拉高BDO的價格。
3、攻擊者接着借出30,516 cake用於後續攻擊:調用DAO Fund合約中的claimAndReinvestFromPancakePool函數,該函數將cake兌換成400個wbnb,且觸發了200WBNB兌換BDO,然而最後會調用_addLiquidity,用合約中的WBNB去添加流動性。此時由於BDO價格很高,導致添加流動性時需要使用項目方合約中大量的WBNB,相當於項目方高位接盤。
4、最後攻擊者通過pancake兌換出WBNB,歸還閃電貸,獲利2381 WBNB。
漏洞分析
本次攻擊主要利用了DAO fund代理合約CommunityFund中claimAndReinvestFromPancakePool函數在添加流動性時的設計漏洞,未充分考慮到價格被惡意拉高後,項目方會在添加流動性時,用自己合約內的資金被動高位接盤的情況。
資金追蹤
截止發文時,被盜資金還未被攻擊者轉出,仍存在攻擊合約中:0x6877F0D7815b0389396454C58b2118ACD0aBB79A。
總結
針對本次事件,成都鏈安技術團隊建議:
1、合約在設計時應充分考慮可能遇到的攻擊,盡量完善其安全設計;
2、項目上线前,建議選擇專業的安全審計公司進行全面的安全審計,規避安全風險。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
XRP飆升至三年新高,ChatGPT預言2025年可達5美元!
人工智能預測XRP何時可能達到5美元,並對新興山寨幣STARS給出看漲預測 全球交易者正在轉向Ch...
今日推薦|傳統金融巨頭Visa、摩根大通等正在積極推動資產代幣化
什么是代幣化資產?代幣化資產是資產所有權的數字化表示,存儲在區塊鏈上。這些數字代幣使得高價值資產可...
COW 單日翻倍領漲 DeFi 賽道,V 神最愛的 swap 有什么本領?
隨着特朗普的勝選,加密資產全线普漲,但最為矚目的項目當屬剛剛上线幣安的 COW,最高漲幅204%。...
今日推薦|DeFi 代幣飆升 30%,交易員預計在特朗普領導下 DeFi 將迎來“更友好”的環境
DeFi 公司擔心在美國證券交易委員會的監督下為其代幣實施“價值累積機制”——但隨着當選總統唐納德...