黑客四連擊：Wiener DOGE, Last Kilometer, Medamon以及PIDAO項目被攻擊事件分析_WDO

據CertiK安全團隊監測，, Wiener DOGE項目于北京時間2022年4月24日下午4時33分被惡意利用，造成了3萬美元（折合人民幣約12.6萬）的損失。攻擊者利用WDODGE的收費機制和交換池之間的不一致，發起了攻擊。

事件發生的根本原因是：通過緊縮的代幣合約造成發送方的LP對沒有被排除在轉賬費用之外。因此，攻擊者能夠將LP對中的通貨緊縮代幣耗盡，進而導致貨幣對價格失衡。

而隨后于同一天接連發生了另外三起惡意利用：

同天下午6時20分，Last Kilometer項目被閃電貸攻擊利用，造成了26495美元（折合人民幣約17萬）的損失；

Acala：黑客攻擊系iBTC/aUSD池配置錯誤，相關被盜資產已被禁止轉移:8月14日消息，Acala發推表示，此前的黑客攻擊系iBTC/aUSD流動性池的配置錯誤，導致大量aUSD的錯誤開采。該配置錯誤已被糾正，收到錯誤鑄造的aUSD的錢包地址已被確定，Acala正在對這些地址進行鏈上活動追蹤。

據初步的鏈上追蹤顯示，99%以上錯誤鑄造的aUSD仍在Acala平行鏈上，被兌換為ACA或其他Token。在Acala社區集體治理決定如何解決錯誤鑄幣之前，留在Acala平行鏈上的這些錯誤鑄造的aUSD及其兌換Token將被禁止轉移。[2022/8/14 12:24:51]

同天晚上9時45分，Medamon項目被閃存貸攻擊利用，造成3159美元（折合人民幣約2萬）的損失；

智能DeFi收益聚合器BT.Finance遭受黑客攻擊:官方消息，智能DeFi收益聚合器BT.Finance遭受黑客攻擊，暫時停止了向Curve.fi存款，以防止再次攻擊。受攻擊的策略包括ETH，USDC和USDT，其他策略不受影響。BT.Finance表示，有用于保險和賠償的管理資金。為了投資者和DeFi的良好發展，BT.Finance希望黑客能夠將資金歸還。BT.Finance將使用BT感謝其Bug測試。此外，BT.Finance提款費用保護使這次攻擊的損失減少了近140,000美元。[2021/2/9 19:19:05]

緊接著， PI-DAO項目被閃存貸攻擊利用，造成了6445（折合人民幣約4萬）美元的損失。

一黑客疑似侵入俄羅斯外交部官推賬戶，為某“支付數據庫”要價66 BTC:7月2日，黑客疑似侵入了俄羅斯外交部的官方推特賬戶。黑客通過該賬戶發帖出售某失竊“支付數據庫”，要價66 BTC。該數據庫據稱包含2020年6月俄羅斯聯邦公共服務門戶網站的游客支付詳情。

然而，目前沒有證據表明該黑客是否真正掌握該數據庫。當天晚些時候，俄羅斯外交部重新控制了該賬戶并發推稱：“黑客侵入我們賬戶的后果已經消除，7月2日上午，黑客在DSCC上發布了一段與俄羅斯外交部無關的‘假文件’。賬戶目前運行正常。”（福布斯）[2020/7/5]

這一系列攻擊的攻擊者與攻擊方法，與同一天早些時候發生的Wiener DOGE相同。

聲音 | 卡巴斯基：針對加密領域的朝鮮黑客組織已越來越謹慎:安全公司卡巴斯基最近發表研究顯示，針對加密領域的朝鮮黑客組織越來越謹慎。這些黑客組織，例如曾冒充加密貨幣交易所的Lazarus Group，正在對自己的一些惡意軟件的傳送機制和有效載荷進行調整，以減少被抓捕的機會。（CyperGlobe）[2020/1/9]

攻擊者通過閃電貸獲得了2900枚BNB。

攻擊者將2900枚BNB換成了6,638,066,501,83枚WDOGE

WdogE : 199,177,850,468

WBNB: 2978

LP的狀態：

將5,974,259,851,654枚WDOGE發送到LP，由于WDOGE比BNB多，所以LP現在處于不平衡狀態。

WDOGE : 5,178,624,112,169

WBNB : 2978

調用skim()函數，從LP中取回4,979,446,261,701枚WDOGE。由于攻擊者在調用skim()之前發送了大量的WDOGE，所以LP將支付大量的費用。這一操作清空了LP內的WDOGE的數量。

攻擊者還調用可sync()函數來更新LP內的儲備值。若干枚WDOGE和2978枚BNB的存在，造成了WDOGE的價格與WBNB相比異常昂貴。

5. 最后，攻擊者用剩下的WDOGE換回了2978枚BNB，償還了閃電貸，賺取了78枚BNB。

而其他幾個項目被攻擊的流程步驟也相似：

閃電貸取得WBNB，并用WBNB換取LP中的通縮代幣；

直接將通縮的代幣轉移到LP對上；

調用skim()函數，迫使LP對輸回通縮代幣；

由于轉讓費的存在，攻擊者會重復步驟2~3，將LP對中的通縮代幣耗盡；

通過LP對中的價格不平衡來獲取利潤。

當用戶（或LP）轉移一定數量的WDOGE時，除了費用，還有4%的代幣將被銷毀。

因此，如果LP發送100枚WDOGE，其余額將減少104枚WDOGE。

所以，LP應該被排除在費用和代幣銷毀之外。

CertiK審計專家認為：如果同時對代幣和LP合約進行審計，這個漏洞就可能被發現。然而，如果只有代幣合約被審計，那么交換機制將被視為一個外部依賴。而這種情況在審計過程中將會指出第三方依賴風險。具體為：如果是代幣合約，CertiK審計專家將會與項目方討論，確認是否需要除去LP對的手續費；如果是LP對方的合約，CertiK審計專家會提出通縮幣的討論，并且提醒項目方可能存在的風險。

作為區塊鏈安全領域的領軍者，CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止，CertiK已獲得了3200家企業客戶的認可，保護了超過3110億美元的數字資產免受損失。

Tags：DOGEDOGWDOWDOGDOGECEO幣GermanShepherdDogwdo幣市場價是多WDOGE

Ethereum