CertiK：ZEED被盜百萬美元資產事件分析-ODAILY_YEED:CER

Author：

Time：1900/1/1 0:00:00

北京時間2022年4月21日下午3時15分，CertiK審計團隊監測到ZEED項目被攻擊，造成了104萬美金的財產損失。被盜取資金被轉移至一合約中，而該合約具有自我銷毀功能，因此該操作無法逆轉，資金無法被追回。

攻擊步驟

①攻擊者合約從HO-SWAPLP收到662枚YEED代幣。

②這662枚YEED代幣被發送到BSC-USD-YEED。由于收費機制的存在，一些收費代幣也將被發送到3個LP對，分別是：BSC-HO-YEED2；BSC-USD-YEED2，BSC-ZEED-YEED2。

CertiK：過去三個月監測到349起NFT項目Discord被攻擊事件，至少41個虛假網站來自同一團伙:8月8日消息，安全機構CertiK在Twitter上表示，過去三個月共監測到349起NFT項目Discord被攻擊事件，其中5月119起，6月116起，7月114起。此外，據調查攻擊者發布的虛假網站中，至少41個網站來自同一團伙。[2022/8/8 12:10:10]

③由于費用計算出錯，一些YEED代幣也將被錯誤地創建/發送到LP。

④從這一刻起，每個LP就處于不平衡狀態。在每個LP合約中，都有著與其他代幣相較過多的YEED代幣。

Ocean Protocol與Balancer Labs合作將創建數據自動做市商:9月24日消息，基于區塊鏈的數據貨幣化創業公司OceanProtocol宣布將與BalancerLabs合作，創建首個用于數據的自動做市商（AMM）。據悉，OceanProtocol旨在幫助個人和企業解鎖數據并將其貨幣化，將數據和人工智能的好處擴展到少數囤積、控制并從中致富的組織之外。Ocean創始人TrentMcConaghy表示，創建高效的數據市場是實現這一目標的關鍵，因此與BalancerLabs達成合作。（CoinDesk）[2020/9/24]

⑤然后，攻擊者將在每個LP上不斷循環調用skim(to:LP)函數。該函數是為了重新調整LP內的兩種代幣的數量，將多余的代幣發送到to參數。由于攻擊者配置的目的地是LP本身，不平衡將不斷增加，更多的獎勵代幣將被創建。

Bitget被知名安全評級機構CER收錄:據官方消息，Bitget目前已被國際知名安全評級機構CER的收錄上線。據悉，目前CER已開啟交易所安全評比，該評比將從18個緯度進行全面測評，并于12天后結束，目前Bitget排名全球第八。

據介紹，CER作為知名收錄平臺CMC及Coingecko的合作伙伴，其測評結果也將作為CMC及Coingecko的收錄標準。

Bitget始終把保障用戶資產及交易安全放在首位，除了投入大量的安全風控資金，Bitget還是一家SSL安全指標12項全部達到A+的合約交易所。另據透露，Bitget即將上線客戶資產驗證工具，客戶將可以第一時間驗證自己資金的安全性。[2020/8/14]

每一次的轉移都會：

CertiK宣布完成對跨鏈DeFi平臺Kava的CDP和拍賣模塊的代碼審計:區塊鏈安全公司CertiK宣布完成對跨鏈DeFi協議Kava的CDP和拍賣模塊的代碼審計，并發布完整審計報告。報告顯示，CertiK發現并修復了可能導致未經授權的訪問、資金損失、級聯故障等已知漏洞以及其他安全漏洞，最終審計結果為Kava交付代碼具有非常高的置信度。整個審計過程歷時6周。[2020/7/15]

從一種LP發送YEED代幣到另外一種LP。

向LP發送因錯誤產生的YEED代幣獎勵

通過以上方式，攻擊者保持了LP內代幣的不平衡，并且每次都會增加LP內YEED代幣的數量。

比如，我們可以看到在BSC-ZEED-YEED2LP中，最初的YEED的數量是96個。