前言
6月20日,BSC链上的DeFi项目ImpossibleFinance突然遭遇闪电贷袭击,本是涨势喜人的IF代币从此也一蹶不振,价值一路下滑。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
事件分析
第一阶段:准备阶段
加密支付处理商Simplex现已支持DOT:加密支付处理商Simplex现在将在其加密货币交易所,钱包和经纪人网络中支持Polkadot(DOT)。(CoinTelegraph)[2021/3/19 19:01:51]
图1:黑客准备阶段流程图从黑客准备阶段流程图中我们可以看到黑客的最终目的是创建AAA代币与IF代币流动性。为此他的具体操作:第一步:获取IF代币(利用闪电贷从PancakeSwap中获取WBNB代币,并将其兑换成IF代币)
公告 | BNANA(Chimpion)将于12月30日16:00上线ZG.COM:据官方公告,ZG.COM将于2019年12月27日14:00开放BNANA的充提业务,于12月30日16:00上线BNANA/USDT、BNANA/BTC交易对。
据介绍,Chimpion是为商户提供一个简便的加密货币支付系统,具有定制的电子商务前端和结算后端。通过Chimpion的创新技术,商家可以推出全面的电子商务店面,并在线接受加密货币支付,并可以选择将自己的数字资产设置为基本货币面值。
BNANA是Chimpion生态系统的激励代币,为Chimpion电子商务生态系统提供动力。[2019/12/25]
第二步:创建可控代币AAA(BBB)
动态 | 消费应用代币化协议Simple Token完成650万美元融资:消费应用代币化协议Simple Token创始人Jason Goldberg在Twitter上表示,历经 7 个月与多家风险投资机构接触后,其已完成新一轮融资,融资金额为 650 万美元。[2019/5/14]
第三步:在Impossible中添加了AAA代币与IF代币流动性
第二阶段:攻击阶段
图2:黑客攻击阶段流程图从黑客攻击阶段流程图中我们可以看到黑客的最终目的是获得BUSD代币。他的具体操作:第一步:通过Router合约设置兑换路径(AAA->IF->BUSD)第二步:在同一兑换过程中进行了两次兑换操作
第三步:兑换可获利的BUSD代币,并兑换IF代币为下次攻击做准备
攻击原理分析
为什么黑客要在同一兑换过程中进行两次兑换操作?理论上每次兑换操作都将导致K值的变化,用户一般无法获得预期数量的代币。既然黑客这样操作并获利,那么一定在合约某处出了问题。果然检查源码发现了问题:
cheapSwap函数并没有检查K值变化,直接更新价值变化。这就是黑客通过多次兑换操作获得额外BUSD代币的原因。总结
本次闪电贷安全事件主要是由于项目方在参考Uniswapv2协议进行创新时,没能及时对创新内容进行安全验证。虽然对cheapSwap函数做了限制,但是对其本质的安全性——价格变动却忽视了,这是不应该的。近期,BSC链上频频爆发攻击事件,合约安全愈发需要得到迫切重视。BSC官方目前也发推称推测有黑客团队盯上BSC,叮嘱各项目方注意规范,合约审计、风控措施、应急计划等都有必要切实落实。
占据主导地位的比特币市值占比仍然徘徊在40-45%的范围内,这意味着其市值占所有加密货币总价值的一半以下,关于主导地位的讨论与以往一样具有争议性.
1900/1/1 0:00:00作者:碳5;编辑:黑土如果说2017年属于ICO、2018年属于IEO、2019年属于CBDC,2020年属于DeFi,那么2021年——无疑属于NFT.
1900/1/1 0:00:00在经历了昨天的信息轰炸之后,今天市场相对来说就比较平静,行情波动比较小,反弹也相对来说比较有限.
1900/1/1 0:00:00作者:茉莉;编辑:文刀一排排比特币矿机释放的荧光熄灭,6月19日晚,四川境内的比特币矿工关机视频在币圈人的社交网络中流传,借着「Bye」的背景配乐诉说无奈.
1900/1/1 0:00:00跟投工具,是传统金融圈子里,散户快速而便捷实现收益的手段。在热度攀升的加密世界,广大新入局的散户,面临的是数倍于传统金融圈的信息差。为此,跟投工具在数字货币领域的需求,显得更加迫切.
1900/1/1 0:00:00七月的第一周,我们整理了一份囊括了8个热门项目的IDO名单。下文中,我们从项目名称、定位、代币进展和IDO详情等几个维度介绍这些新项目.
1900/1/1 0:00:00