比特币
Ctrl+D收藏简单区块链

SafeDollar 归零 Polygon绿色生态的“潘多拉魔盒”已开启?_以太坊

作者:

时间:2021/6/28 20:31:39

SafeDollar 归零 Polygon绿色生态的“潘多拉魔盒”已开启?

一、事情概述

中国北京时间6月28日,链必安-区块链技术安全性入侵检测服务平台(Beosin-Eagle Eye)网络舆情监测表明,Polygon绿色生态优化算法稳定币新项目SafeDollar遭受网络黑客攻击。攻击事情产生后,SafeDollar新项目所发售的稳定币(SDO)价钱从1.07美金,一瞬间跌去归零。

有信息强调,一份没经确认的合约吸走了25万美金的USDC和USDT;后经Rugdoc.io剖析确认,本次攻击事情中网络黑客一共盈利使用价值25万美金的USDC和USDT。接着,SafeDollar新项目方发布消息,规定投资人终止全部与SDO有关的买卖。现阶段,SDO买卖已暂时中止。

由于本次攻击事情所具有的标示实际意义,成都市链安·安全性精英团队第一时间干预剖析。继5月初BSC(火币网智能化链)众多链上新项目不断网站被黑以后,6月末Polygon绿色生态也逐渐被网络黑客看上,“潘多拉魔盒”是不是早已悄悄地打开?借此机会事情,成都市链安根据整理攻击步骤和攻击技巧,提示Polygon绿色生态新项目提升安全性预警信息和预防工作中。

二、事情剖析

本次攻击事情中,攻击者运用PLX代币转帐时具体到账数量低于推送数量及其SdoRewardPool合约抵押和测算奖赏上存有的逻辑性缺点,依靠“闪电贷”操纵SdoRewardPool合约中抵押池的抵押代币数量,从而控制奖赏测算,进而得到 高额的SDO奖赏代币,最终应用SDO代币将SDO-USDC和SDO-USDT二种换取池中USDC和USDT所有换取出去。

攻击者详细地址:

c0FeDC2487Ed4BB740A268c565daCdD39C17Be7eBd

攻击合约:

c0C44e71deBf89D414a262edadc44797eBA093c6B0

c0358483BAB9A813e3aB840ed8e0a167E20f54E9FB

攻击买卖:

c0d78ff27f33576ff7ece3a58943f3e74caaa9321bcc3238e4cf014eca2e89ce3f

c04dda5f3338457dfb6648e9a959e70ca1513e434299eebfebeb9dc862db3722f3

0x1360315a16aec1c7403d369bd139f0fd55a99578d117cb5637b234a0a0ee5c14

下列剖析根据下列么加一笔买卖:

攻击者最先应用PolyDex的WMATIC和WETH池开展PLX借款,如下图所显示:

下面,攻击者根据攻击合约不断开展抵押获取,主要是为了更好地降低SdoRewardPool合约中SDO抵押池中的抵押代币数量。

PLX代币合约开展代币迁移时,假如from详细地址没有_isExcludedFromFee目录中,而且to详细地址也没有_isExcludedToFee目录中,会对迁移的代币扣除一次奖赏股票基金及其消毁此次迁移代币数量的0.05%。

而在SdoRewardPool合约中,纪录的数量为入参所迁移的数量,沒有减掉迁移全过程中耗损的一部分,在开展获取实际操作时,获取的数量为纪录的数量,超过了客户具体抵押到本合约的数量,故会导致该抵押池中抵押代币的出现异常降低。

攻击者事前根据攻击合约

(c0358483BAB9A813e3aB840ed8e0a167E20f54E9FB)在该抵押池中抵押214.235502909238707603 PLX,在攻击合约

(c0C44e71deBf89D414a262edadc44797eBA093c6B0)攻击进行后,操纵攻击合约

(c0358483BAB9A813e3aB840ed8e0a167E20f54E9FB)在该抵押池中开展奖赏领到,因为SdoRewardPool合约中升级抵押池信息内容时应用的是balanceOf涵数获得本合约中抵押代币数量,故获得到的数量是故意降低以后的数量,进而导致PLX抵押池中accSdoPerShare变量出现异常扩大,进而获得到高额的SDO代币奖赏。

最终运用获得到的SDO代币将SDO-USDC和SDO-USDT二种换取池中USDC和USDT所有换取出去。

三、事情总结

实际上,本次攻击事情并不繁杂,可是非常值得造成留意。最先加上抵押池时加上了非标代币,再再加上测算奖赏时应用了balanceOf涵数开展抵押代币数量的获得,因此造成 了本次攻击事情的产生。

从网络安全审计的角度观察,新项目方做为加上抵押池的管理人员,针对即将加上的抵押池中的抵押货币交易,一定要三思而后行。通货膨胀通货紧缩类及其迁移数量与具体到账数量不一样的代币,不建议做为抵押池的抵押代币;假如因业务流程必须 一定要加上这种种类的代币做为奖赏代币,尽量与别的规范代币分离解决。与此同时在抵押池中提议应用一个独立的自变量做为抵押数量的纪录,随后测算奖赏时,应用根据此自变量来获得抵押代币数量,而不是应用balanceOf涵数。

此外,本次攻击事情针对Polygon生态圈上新项目来讲,是不是会是一个“风险数据信号”,Polygon绿色生态的“潘多拉魔盒”是不是会从此开启,这还必须 犹豫事后趋势发展趋势。但是,回顾5月,BSC绿色生态产生第一起闪电贷攻击以后,便从此打开了“BSC灰黑色五月”帷幕。由于前车可鉴,成都市链安在这里提示,Polygon生态圈上新项目防患于未然,进一步提升安全防范意识!

Cover Protocol:除涉及到SAFE/SAFE2代币外 赔偿方案全部别的內容均合理:12月31日,DeFi商业保险协议书Cover Protocol官方网发推称,先前公布的SAFE或SAFE2赔付只是是涉及到SAFE/SAFE2代币的。赔偿方案中的全部别的內容依然合理。对于SAFE/SAFE2,只是包含来源于SAFE-COVER理赔门户网的遗弃的SAFE代币。而如今得到 SAFE代币并不会使客户有资质得到 新的COVER代币。今天早间新闻信息,Cover Protocol官方网表明,未转移的SAFE或SAFE2可能1:1换取为新COVER代币。[2020/12/31 16:09:29]

Boson Protocol关掉9月SAFE股权融资:Boson Protocol在twiter上公布关掉9月打开的SAFE股权融资,Outlier Ventures的八个合作方及其Ocean Protocol创办人Trent McConaghy等参加了本次股权融资。

注:SAFE(Simple Agreements for Future Equity)协议书,汉语为“将来股份简易协议书”,是由美国硅谷知名初创期创业孵化器Y-Combinator(”YC“)所创造发明的一种新的融资模式。SAFE的运用范畴不限于区块链项目,也适用各种初创期型公司。[2020/11/4 11:39:31]

动态性 | KeySafeBank与NEM马来西亚、PAL Network协作:据medium信息,KeySafeBank已明确NEM马来西亚应用NEM区块链技术安全性解决方法为其服务平台给予适用,与此同时还与PAL Network签定谅解备忘录,后面一种将为其拥有的数字货币数字货币给予商业保险。[2018/11/2

标签:

区块链热门资讯
剖析Swarm的风险性与自主创新 矿工进场仍需慎重考虑到_以太坊

剖析Swarm的风险性与自主创新 矿工进场仍需慎重考虑到 在2017年公布的以太坊远古时代详细介绍中,Vitalik就觉得以太坊、Swarm、Whisper将一同组成Web 3.0的区块链技术技术性模块。以太坊承担合同和测算,Whisper用以通信,Swarm用以文档存储。

2021/6/28 20:15:09
DeFi系统架构中 还有哪些缺少的版面机遇?_以太坊

DeFi系统架构中 还有哪些缺少的版面机遇? 全文创作者: Chris McCann,风险投资基金 Race Capital 创始人 区块链技术金融(DeFi)已经彻底改变金融的将来。适用金融运用的  底层系统架构  也已经产生重特大变化,已经更改大家对批准和操纵、清晰度和风险性的观点。

2021/6/28 19:37:18
DeFi | 什么叫Liquidity Pool ? 它是怎样运行的 ?_以太坊

DeFi | 什么叫Liquidity Pool ? 它是怎样运行的 ? “区块链技术金融业是大家当今金融体制更民主建设的版本号,它将在两年内完善,使大家在应用她们的虚拟货币时更为单独和承担。” 2020-2021年,好几个DeFi新项目在加密货币宇宙空间中发布,在其中的一些让人的DeFi概念,正一同为大家的DeFi生态体系给予驱动力。

2021/6/28 19:31:11