前言
8月25日,知道创宇区块链安全实验室监测到BSC链上的DeFi协议DotFinance遭遇闪电贷袭击,价值跌落近35%。实验室第一时间跟踪本次事件并分析。
涉及对象
黑客地址:
0xDFD78a977c08221822F6699AD933869Da6d9720C
Lido Finance 提议在Polkadot和 Kusama 生态系统上停止流动性抵押:金色财经报道,据发布在 Lido 治理论坛上的一项提案,Lido Finance 提议在Polkadot和 Kusama 生态系统上停止流动性抵押。
在提案中,Lido 合作伙伴MixBytes宣布,自 2023 年 8 月 1 日起,将停止在 Polkadot 和 Kusama 流动性质押协议上为 Lido 开发和提供技术支持。
MixBytes 首席产品官兼提案作者 Kosta Zherebtsov 表示:“做出这个决定是因为面临多项挑战,包括市场条件、协议增长等。”(Coindesk)[2023/3/9 12:51:09]
攻击合约地址:
报告:Solana、Terra和Polkadot的增长速度超过ETH:金色财经报道,根据Electric Capital的数据,在开发者方面排名前五的区块链生态系统是Ethereum、Polkadot、Cosmos、Solana和比特币。Polkadot和Solana的发展比以太坊在其历史上的类似点更活跃。而根据Electric Capital的新报告,几个协议生态系统正在超过最大的开发者生态系统-以太坊。得出这一结论的指标是自第一次 \"提交 \"或改变代码以来的天数,以及自启动以来的总开发人员数量。当与处于类似阶段的以太坊进行衡量时,这六个第一层生态系统拥有更多活跃的开发者。(decrypt)[2022/1/6 8:28:17]
0x33f9bB37d60Fa6424230e6Cf11b2d47Db424C879
波卡周报:Polkadot更新到runtime v29 Rococo网络重启成功:根据PolkaWorld最新发布的波卡周报,本周重要事件包括:
1. Polkadot已经更新到runtime v29;
2. Polkaregistry提出的国库议案,一个更加去中心化的注册机器,已经被Polkadot理事会通过;
3. 波卡理事会通过了PolkaWorld提出的开发中文网站的国库申请;
4. OpenSquare提出的将doTreasury集成到波卡的国库议案正在讨论中;
5. Polkadot目前staking率是64.1%,最小提名DOT数是226 DOT;
6. Rococo网络在这周重启成功,目前包括了插槽,拍卖,Crowdloan,注册等所有必要的平行链基础模块。随着这些基础模块的添加,平行链的拍卖和众贷功能已经在Polkadot-JS上开始测试。目前Acala的测试网Mandala PC2(id 666)赢得Rococo上的第一个平行链插槽拍卖,Plasm赢得了Rococo上的第二个平行链插槽。此外,Phala、ChainX、Zenlink等生态项目还在进行新一轮的拍卖。[2021/3/28 19:24:14]
受害合约地址:
0x16fd050f05f8fc361cf9083aa3f624a2bf7e914d0xbfca3b1df0ae863e966b9e35b9a3a3fee2ad8b07
攻击涉及主要函数分析
分析交易哈希
0x68170a309ab2e944e178ccf9bf6f19e25a3f356031ce53539bb9669fc77172f2
swap函数
1.整个交易都始于PancakePairswap函数
2.为攻击提供资金支持
getreward函数
1.使用balanceOf(address(this))获取CAKE代币余额
2.通过CAKE代币余额来铸造奖励
简要过程及原理分析
1.黑客使用PancakeSwap闪电贷获得初始资金100Cake代币;
2.通过将Cake代币打入VaultPinkBNB合约,来影响getReward函数获取合约Cake代币真实值,同时performanceFee参数受Cake代币真实值影响数值巨大;
3.最后mintFor函数使用受影响的performanceFee参数向黑客铸造大量pink代币奖励;
总结
此次攻击属于PancakeBunny同类型的攻击事件,迄今为止此类攻击事件已发生多次,知道创宇区块链安全实验室再次提醒,近期BSC链上频频爆发攻击事件,合约安全愈发需要得到迫切重视,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。