事件背景
北京时间7月20日,有消息称Sanshu项目方旗下的Memestake项目遭受闪电贷攻击,损失高达10余万美金。知道创宇区块链安全实验室对此事件展开复盘分析。
事件跟踪
攻击时间:2021-07-2019:23:20攻击者地址:0x0333E323E61aa8aFA38A1623604A165dCB9F4fEC攻击交易哈希:a):https://etherscan.io/tx/0x628174eccf05e94a3385f882805124b5d8718a0c9906c6cd0c573e5d6f56c9d2
孙宇晨:币安并非交易较小市值meme币的最佳平台:5月19日消息,波场 TRON 创始人、Huobi 全球顾问委员会成员孙宇晨表示,“币安可能是市场份额最大的加密交易平台,但它并非交易市值较小的 meme 币的最佳场所。如今,币安在上架加密资产方面有着非常高的标准。某个 代币首先需要至少达到 1 亿美元甚至 10 亿美元(市值)才能在币安上线。我认为这为其他交易平台的发展留下了非常大的空间。”[2023/5/19 15:14:03]
Memeland:启动为期1周的“!joinraids”试运行:金色财经报道,NFT项目Memeland在社交媒体宣布已启动为期1周的“!joinraids”试运行,参与试运行需要Captainz 持有至少1张特殊或非凡级别的地图,当一名Captainz持有者加入团队时,将有40%的几率赢得一张特殊或非凡地图,有50%的几率将他们的地图输给其他Captainz持有者,并且有10%的几率丢失(烧毁)。[2023/5/1 14:36:16]
b):https://etherscan.io/tx/0x00edd68087ee372a1b6e05249cc6c992bb7b8478cc0ddc70c2a1453428285808
Memeland船长NFT“CaptainZ”将跳过Jolly Roger阶段,下周推出Potatoz Questing:金色财经报道,根据9GAGCE今天在Memeland Discord上发布公告显示,船长NFT“CaptainZ”将跳过Jolly Roger阶段,并且会在下周直接推出Potatoz Questing。此前社区猜测本周末会揭晓“海盗旗”并披露Captainz 的旗帜、派系和船员,但 9GAGCEO 今天表示,他们已经更新了披露流程,后续将会有更多细节跟进,同时确认只是跳过了第 2 阶段,其他阶段仍会分步进行。[2023/3/6 12:44:01]
OKEx将于今晚20:00上线GHST和MEME交易:据OKEx官方公告显示,经社区充值投票,“热门NFT项目充值上线”活动的前2名项目为GHST、MEME,具体时间上线时间安排如下:
1. GHST/USDT、MEME/USDT的市场交易: 10月13日 20:00 (HKT)
2. GHST/ETH、MEME/ETH 的市场交易: 10月13日 21:00 (HKT)
3. GHST、MEME提现时间:10月14日20:00 (HKT)
4. Rari、Whale、Dego、Bonk提现时间:10月14日20:00 (HKT)[2020/10/13]
c):https://etherscan.io/tx/0xa945b1857630e730bd3fac6459c82dee44da45e35cfbbd6dfb7b42146e8dde41
事件分析
如上图所示,攻击者按照攻击交易a->b->c流程发起攻击并获得收益离场,攻击复盘如下:
1.如a交易所示,攻击者先从uniswap中用weth兑换2091514065454个KEANU代币并抵押到Memestake合约(0x35C674C288577Df3e9b5dafEF945795b741c7810)中。2.如b交易所示,攻击者再利用闪电贷借取KEANU代币,并不断调用Memestake合约的deposit和withdraw函数用以消耗Memestake合约的KEANU代币,而这里就是漏洞的利用点:KEANU代币为通缩模型代币,即每笔交易会扣除2%的代币用于给其他持币用户分红。
但是Memestake中deposit和withdraw函数记录的都是转账发起者所支付的值,即用户抵押100个KEANU代币,实际到账合约的只有98个KEANU代币,但是提取的时候还是归还给用户100个KEANU代币,所以随着攻击者不停的抵押提取,合约的KEANU代币余额就越来越小。
当合约的KEANU代币余额变少时,影响了单位KEANU代币可兑换的MFUND代币数量(accMfundPerShare变量),即攻击者可以获得第一步抵押KEANU代币抵押所产生的巨额奖励MFUND代币。
3.如c交易所示,攻击者调用withdraw函数取出第一步抵押产生的MFUND代币,并归还第二步闪电贷借用的KEANU代币,并将巨额的MFUND代币再swap成WETH和SANSHU代币套利离场。
事件总结
本次闪电贷的攻击主要利用的还是通缩模型代币与传统挖矿合约逻辑不匹配导致的结果,项目方没有充分考虑到通缩模型带来的代币分红损失,导致了挖矿合约的代币余额越来越少,最终酿成了超额铸造了奖励代币MFUND的错误。
金融格局正在发生变化,执法部门必须适应它。去年,加密货币风靡金融界,但许多执法机构,尤其是州和地方各级的执法机构,尚未拥有有效调查与加密货币相关的犯罪所需的工具或数据.
自2020年的“DeFi”在区块链世界掀起风波后,创新式的DeFi项目层出不穷,直接在区块链世界衍生了与传统金融场景类似,架构不同的去中心化金融业务.
当波卡数据明星CereNetwork遇上老牌硅谷合规平台Republic将碰撞出怎样的火花?两大热门项目之间公募的首次合作又会将「合规、波卡、顶级机构、豪华投资背景」等热点结合出怎样的魅力?为了.
搜索热度通常可用于分析各种趋势,尽管不一定会完全转化为购买压力,但加密货币相关的关键字搜索数据可以帮助我们了解散户对各类加密资产的兴趣.
8月22日,波场TRON创始人孙宇晨发布推文宣布,他以50万美元的价格成功拍下《ROCKID87》,并表示将捐赠给APENFT基金会。同时,孙宇晨还将自己的推特头像改为了带有激光眼的石头照片.
一、什么是元宇宙 正如电影《头号玩家》的场景,在未来的某一天,人们可以随时随地切换身份,自由穿梭于物理世界和数字世界,在虚拟空间和时间节点所构成的“元宇宙”中学习、工作、交友、购物、旅游等.
区块见闻