0x1事件背景
Hyperlab区块链安全实验室情报平台监控到消息,北京时间2022年9月5日BNBChain上的DAOOfficials项目遭到闪电贷攻击。Hyperlab安全团队及时对此安全事件进行分析。
0x2攻击者信息
攻击者钱包(SpaceGodillaExploiter):
?0x00a62EB08868eC6fEB23465F61aA963B89e57e57
攻击者合约:
Arbitrum生态健康应用Gosleep完成200万美元融资:2月28日消息,据官方推特,基于Arbitrum的健康生活方式应用Gosleep宣布完成200万美元融资,Foresight Ventures领投,CCC Capital、Amber Group、SevenX Ventures、KuCoin Ventures和Gate Labs等参投。
据悉,Gosleep旨在激励玩家追求健康生活方式,通过对睡眠模式的个性化睡眠建议,帮助玩家逐渐养成健康的睡眠习惯。[2023/2/28 12:34:50]
0xb2d7d06b67e67b8a3acb281d1f9aaa2716f28bbb
印度CBIC要求加密货币交易所提供代币信息以制定相关GST:11月1日消息,印度间接税和海关中央委员会(CBIC)要求主要加密货币交易所提供正在交易的数字货币和代币的类型及其估值的详细信息,以帮助相关商品和服务税(GST)等间接税的政策制定和征收。据当地媒体Business Standard援引一位未透露姓名的高级官员的话说,这些信息将帮助CBIC确定如何对新兴资产类别征收GST。CBIC还要求交易所提供交易费用以及不同加密产品的等信息。
目前,印度CBIC对加密货币交易所提供的服务征收18%的GST。[2022/11/1 12:05:50]
攻击交易:
CFTC:对于加密货币的领域的监管需要各方合作:7月22日消息,美国商品期货交易委员会(CFTC)成员表示,美国证券交易委员会(SEC)对 Coinbase 高管的指控可能会产生超出这一单一案件的影响力,突出监管机构共同努力的重要性和紧迫性,最好可以通过一个透明的过程来解决,让公众参与政策制定过程。CFTC 称,如果 SEC 没有介入并将代币作为证券看待,该案件应在 CFTC 管辖范围内。(The Block)[2022/7/22 2:31:00]
0x414462f2aa63f371fbcf3c8df46b9a64ab64085ac0ab48900f675acd63931f23
0x6c859ae624002e07dac39cbc5efef76133f8af5d5a4e0c42ef85e47d51f82ae0
0x3b1d631542eb91b5734e3305be54f305f26ab291b33c8017a73dcca5b0c32a1b
0xa7fdefcd80ba54d2e8dd1ab260495dca547993019d90f7885819bb4670b65bad
0xf1368418344e21a1a09a2c1770ea301bf109ca3b387a59a79242a27d709195a7
0x8eb87423f2d021e3acbe35c07875d1d1b30ab6dff14574a3f71f138c432a40ef
漏洞合约:
0xea41bbd80ac69807289d0c4f6582ab73e96834d0
0x3攻击分析
攻击者主要的攻击交易流程(以其中一个攻击交易为例):
第一步:从闪电贷分批多次借贷大额BSC-USD
第二步:将2,188,176.667枚?BSC-USD转换成?309,928.963枚DAO
第三步:将309,928.963枚?DAO?换取成?1928505枚BSC-USD
第四步:归还多次借贷大额BSC-USD后,剩余的24088枚BSC-USD转到攻击者钱包中。
攻击者重复以上攻击行为,在多笔攻击交易成功后最终获利逾50万美元。
0x4漏洞细节
HyperLab安全团队正在分析攻击者赚取DAO发放的奖励合约逻辑漏洞,详情将在后续文章中披露。
0x5资金流向
目前黑客获利的?582,031枚BSC-USD仍在其钱包地址中。
0x6总结
HyperLab安全团队认为此次攻击事件发生的主要原因在于闪电贷的奖励合约的逻辑漏洞。攻击者利用此漏洞进行多次重复赚取DAO发放的奖励。经检查,此奖励合约并没有经过安全审计。HyperLab建议任何合约上线前应进行全面的安全审计,将可能发生的安全风险规避掉。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。