DOG:黑客四连击：Wiener DOGE, Last Kilometer, Medamon以及PIDAO项目被攻击事件分析_WDOG

据CertiK安全团队监测，,WienerDOGE项目于北京时间2022年4月24日下午4时33分被恶意利用，造成了3万美元的损失。攻击者利用WDODGE的收费机制和交换池之间的不一致，发起了攻击。

事件发生的根本原因是：通过紧缩的代币合约造成发送方的LP对没有被排除在转账费用之外。因此，攻击者能够将LP对中的通货紧缩代币耗尽，进而导致货币对价格失衡。

而随后于同一天接连发生了另外三起恶意利用：

同天下午6时20分，LastKilometer项目被闪电贷攻击利用，造成了26495美元的损失；

Synapse跨链桥受攻击事件更新：协议将不会处理黑客的交易，所有nUSD将全额返还:11月8日消息，跨链协议Synapse Protocol更新跨链桥受攻击事件进展，协议将不会处理黑客的交易，所有Synapsen USD将全额返回给受影响的流动性提供者们。目前Synapse Protocol网络正在恢复正常活动以及处理积压的交易，新的nUSD资金池已完成部署（用stableswap合约代替metapool合约以保证安全性），未受影响的流动性提供者将需要解除抵押并从旧资金池中提取流动性，官方公告将很快发布。此前消息，11月7日，跨链协议Synapse Protocol推出的资产跨链桥疑似存在漏洞，攻击者设法操纵nUSD价格并从中获利约800万美元。[2021/11/8 6:38:17]

同天晚上9时45分，Medamon项目被闪存贷攻击利用，造成3159美元的损失；

IoTeX首席赞助Gitcoin第十轮黑客松:据官方消息，Web3开源开发者激励平台 Gitcoin 将于 6 月 16 日至 7 月 7 日举行第十轮黑客松（GR10） ，总赏金高达65万美金。IoTeX作为本轮Gitcoin黑客松首席赞助，将提供资金和技术资源，助力Web3开发者创建开源公共产品和应用。本轮Gitcoin黑客松匹配有史以来最大赏金池，IoTeX为活动提供资金支持以外，还设置了三个共15500美金的专项赏金挑战，鼓励开发者通过IoTeX最新上线的Web3 Babel通天塔API工具参与挑战，在IoTeX网络上共同建设未来Web3开源新生态。

Gitcoin是目前最大的Web3开发者平台，激励支持开发Web3开源项目，扶植在未来能产生最大影响的去中心化开源项目。IoTeX作为硅谷开源项目成立于2017年，以链接现实世界和数字世界为愿景，是与以太坊全兼容的高性能公有区块链。[2021/6/17 23:44:42]

紧接着，PI-DAO项目被闪存贷攻击利用，造成了6445美元的损失。

推特主动向爱尔兰数据保护委员会报备黑客攻击事件:推特已主动向欧盟数据保护机构报备此前受到黑客攻击的事件。欧盟数据保护机构爱尔兰数据保护委员会（DPC）发言人Graham Doyle表示，该监管机构已收到关于这一事件的通报，正在进行评估。DPC是推特和其他美国科技公司在欧盟的主要监管机构，这些公司的欧洲总部都设在爱尔兰。

推特仍在调查和评估攻击是如何进行的，但并没有透露帐户中的其他信息（比如私人信息）是否受到影响。这一事件引发人们对肇事者身份和其实际目标的猜测。一些网络安全专家推测，这次攻击掩盖了一场更为邪恶的行动，目的是获取敏感数据。推特表示正在与监管机构密切合作。（彭博社）[2020/7/22]

这一系列攻击的攻击者与攻击方法，与同一天早些时候发生的WienerDOGE相同。

动态 | 黑客为挖矿攻击路由器 降维提示用户注意互联网安全:从今年4月份至今，黑客利用了约210,000台MikroTik路由器上存在的安全漏洞，通过此漏洞将挖矿木马Coinhive的Javascript注入用户浏览器访问的每个网页，最终迫使每台连接的电脑在不知情的情况下为黑客挖掘门罗币。

降维安全提示：黑客利用用户私人财产挖矿已成常态化。用户除了及时对自己的电脑、手机安装最新系统更新外，路由器安全也应放在日常关注之列。及时的安装安全补丁可以有效降低用户的路由器被攻破的风险，避免成为黑客非法挖矿的帮凶。[2018/8/4]

WienerDOGE攻击流程

攻击者通过闪电贷获得了2900枚BNB。

攻击者将2900枚BNB换成了6,638,066,501,83枚WDOGE

WdogE:199,177,850,468

WBNB:2978

LP的状态：

将5,974,259,851,654枚WDOGE发送到LP，由于WDOGE比BNB多，所以LP现在处于不平衡状态。

WDOGE:5,178,624,112,169

WBNB:2978

LP的状态：

调用skim()函数，从LP中取回4,979,446,261,701枚WDOGE。由于攻击者在调用skim()之前发送了大量的WDOGE，所以LP将支付大量的费用。这一操作清空了LP内的WDOGE的数量。

攻击者还调用可sync()函数来更新LP内的储备值。若干枚WDOGE和2978枚BNB的存在，造成了WDOGE的价格与WBNB相比异常昂贵。

5.最后，攻击者用剩下的WDOGE换回了2978枚BNB，偿还了闪电贷，赚取了78枚BNB。

而其他几个项目被攻击的流程步骤也相似：

闪电贷取得WBNB，并用WBNB换取LP中的通缩代币；

直接将通缩的代币转移到LP对上；

调用skim()函数，迫使LP对输回通缩代币；

由于转让费的存在，攻击者会重复步骤2~3，将LP对中的通缩代币耗尽；

通过LP对中的价格不平衡来获取利润。

合约漏洞分析

当用户转移一定数量的WDOGE时，除了费用，还有4%的代币将被销毁。

因此，如果LP发送100枚WDOGE，其余额将减少104枚WDOGE。

所以，LP应该被排除在费用和代币销毁之外。

资产损失

审计的作用

CertiK审计专家认为：如果同时对代币和LP合约进行审计，这个漏洞就可能被发现。然而，如果只有代币合约被审计，那么交换机制将被视为一个外部依赖。而这种情况在审计过程中将会指出第三方依赖风险。具体为：如果是代币合约，CertiK审计专家将会与项目方讨论，确认是否需要除去LP对的手续费；如果是LP对方的合约，CertiK审计专家会提出通缩币的讨论，并且提醒项目方可能存在的风险。

作为区块链安全领域的领军者，CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止，CertiK已获得了3200家企业客户的认可，保护了超过3110亿美元的数字资产免受损失。

标签：DOGDOGEWDOWDOGAIDOGE币Feisty Doge NFTwdo币价格NEWDOGE

抹茶交易所热门资讯