本文转自知帆科技,星球日报经授权转载在2021年5月份短短20余天,BSC币安智能链上发生四次闪电贷攻击套利事件,总共损失资金远超7800万美金。四次攻击事件的手法和原理均有相似之处,知帆科技将总结对比四次事件的攻击原理和手法,希望广大项目方和用户提高警惕。在开始分析BSC链上安全事件之前,需要了解一些基本概念,比如闪电贷的含义、Defi项目的盈利模式等。闪电贷是什么闪电贷就是在一笔链上交易中完成借款和还款,无需抵押。由于一笔链上交易可以包含多种操作,使得开发者可以在借款和还款之间加入其它链上操作,使得这样的借贷多了很多想象空间,也变得具有意义。闪电贷的功能是确保用户无需抵押来实现借还款,并且如果资金没有返还,那么交易会被还原,即撤消之前执行的所有操作,从而确保协议和资金的安全。Defi项目的盈利模式此处以PancakeSwap为例说明。PancakeSwap是币安链上的自动化做市商(AMM)平台,用户可以通过该平台交易数字资产,但是跟传统交易模式不一样的是,用户的交易对象是流动性资金池。这些资金池中聚积着其他用户的资金。用户将资金注入池中,接收来自流动性供应商的代币。然后,他们可以使用这些代币换回自己的资金份额并赚取部分交易费用。简而言之,用户可以在该平台交易代币,也可以通过添加流动性来获得奖励。1、分析目的
Crypto.com增加对MATIC、USDC和DAI的支付支持:金色财经报道,加密货币交易所Crypto.com最近更新了其DeFi钱包服务,支持在更多国家购买法定货币和三种新代币MATIC, USDC和DAI。
Crypto.com的原生CRO是目前唯一可用于支付购买的代币。Crypto.com还宣布在更多国家支持支付,将能够使用该服务在该公司的DeFi钱包应用程序中直接购买加密货币的国家数量增加到108个。[2023/5/18 15:10:15]
梳理事件发生原因总结黑客攻击手法对项目方和用户的安全提示2、事件分析
AutoSharkFinance北京时间2021年5月25日,币安链DeFi协议AutoSharkFinance受到闪电贷攻击。黑客铸造了1亿枚SHARK代币并短时间大量出售,造成SHARK价格闪崩,从1.2美元快速跌至0.01美元。资金池中所有用户的资金还是安全的,这次攻击也没有造成项目方资金损失。黑客利用项目中的WBNB/SHARK策略池中的getReward函数漏洞,从而利用SharkMinter合约铸造出了大量的SHARK代币获利。黑客首先从Pancake借出大量WBNB,在AutoSharkSHARK/WBNB池中兑换出大量的SHARK,把两种代币打入SharkMinter合约,同时池中WBNB的数量增多。合约误以为攻击者打入了巨量的手续费到合约中,并且由于WBNB数量非常多,导致合约计算出错误的LP价值。合约最后在统计黑客的贡献的时候计算出了一个非常大的值,导致SharkMinter合约给攻击者铸出了大量的SHARK代币。
火必将下架ABT、ATP等33个币种:1月11日消息,据官方公告,火必将于2023年1月16日16:00停止ABT、ATP、APN、AST、DIE、DHT、DFA、EDEN、GEAR、HC、INDI、IOI、INV、IRIS、GCOIN、GOF、KMA、MTA、NAS、OPUL、PEARL、PRIMATE、QASH、SMT、SLC、SKU、SOC、STC、TALK、VALUE、WHALE、WILD和YAM的交易,并实施下架处理;原因是这些代币触犯了《火必通证管理规则》。[2023/1/11 11:05:57]
Cointelegraph盘点波场TRON 2022年度22大成就:1月8日消息,日前,区块链行业媒体Cointelegraph发布波场TRON 2022年度的22大成就, 主要包括:TRON DAO成为世界上最大的DAO、扩大与火必的合作、推出稳定币USDD、TRX和USDD获得更多应用场景、成为多米尼克国家公链、建成行业第二大稳定币生态系统、被评为最环保区块链、TVL规模仅次于币安以及用户帐户从6900万增长到1.32亿等。
Cointelegraph在文中称,2022年是波场TRON历史性增长的一年,全年累计新增用户6300万。作为加密行业的全球潮流引领者,波场TRON正在打造一个可以为每个人服务的生态系统基础设施。[2023/1/8 11:00:51]
AutoShark被攻击交易截图BoggedFinance团队因闪电贷攻击损失362万美元北京时间2021年5月22日,知帆科技跟踪发现币安链DeFi协议BoggedFinance受到黑客攻击,具体表现为黑客对BOG代币合约代码中_txBurn函数的逻辑错误进行闪电贷套利攻击。在BOG合约代码中,本应对所有交易收取5%的交易额作为交易费用,同时允许向自己转账,在自我转账的过程中,仅扣除1%手续费。然而,在此次攻击中,攻击者通过闪电贷加大质押的金额,再利用合约对自我转账类型的交易审核偏差来添加大量流动性进行流动性挖矿,并且反复自我转账获利,最终移除流动性从而完成攻击过程。
Coinsquare:客户资产在冷库中是安全的,没有风险:金色财经报道,加拿大加密货币交易所Coinsquare可能已被攻破,但该公司声称客户资产在冷库中是安全的,没有风险。该交易所自称是“加拿大值得信赖的安全买卖和交易比特币、以太坊等的平台”,
根据这封电子邮件,该漏洞暴露了“客户姓名、电子邮件地址、住址、电话号码、出生日期、设备 ID、公共钱包地址、交易历史和账户余额”。虽然这封电子邮件是昨天发送的,但 Coinsquare 上周发现了该漏洞并通过 Twitter 通知了客户。[2022/11/27 20:55:22]
荷兰国际银行:预计美联储将在9月和11月各加息50个基点:7月30日消息,荷兰国际银行首席国际经济学家詹姆斯·奈特利说,美联储已经明确表示,它准备牺牲经济增长,因为它希望将通胀降至目标水平,但现在美国正处于技术上的衰退,似乎正走向可能被称为“真正的”衰退,即失业率上升,消费支出下降,我行预计美联储将在9月和11月各加息50个基点。(金十)[2022/7/30 2:47:54]
BoggedFinance被攻击交易截图PancakeBunny闪电攻击损失4,500多万美元PancakeBunny是与BSC链上TVL最大的去中心化交易所PancakeSwap相关的收益聚合器。北京时间2021年5月20日,知帆科技跟踪发现攻击者利用合约漏洞,从PancakeSwap和ForTube流动性池中闪电贷借到大额资金,不断加大BNB-BUNNY池中的BNB数量,之后在bunnyMinterV2合约中,铸造大约700万个BUNNY代币,部分换成BNB偿还闪电贷后,还有盈利69.7万枚BUNNY和11.4万枚BNB。
PancakeBunny被攻击交易截图SpartanProtocol被攻击损失约3000万美金北京时间2021年5月2日,DeFi项目Spartan遭到黑客的闪电贷攻击。SpartanSwap应用了THORCHAIN的AMM算法。此算法采用流动性敏感资费来解决流动性冷启动以及滑点问题,但是该算法存在漏洞。黑客也像前几次闪电贷攻击一样,首先从PancakeSwap中借出WBNB,然后将WBNB兑换成SPARTAN存入流动池换取LPtoken。在移除流动性时会通过池子中实时的代币数量来计算用户的LP可获得多少对应的代币,由于算法漏洞,此时会获得比添加流动性时更多的代币,所以黑客只需重复添加再移除流动性就可获得多余代币盈利。
SpartanProtocol被攻击交易截图3、总结BSC链上攻击手法
黑客通过BSC闪电贷平台筹款布置自动化合约进行BNB和平台代币的兑换将代币打入平台合约池中获得LP代币奖励返还借来的闪电贷资金通过跨链桥平台将所获资产快速转移至以太坊第一步:黑客从借贷平台获取大额资金第二步:部署自动化攻击合约攻击交易所价格预言机第三步:通过代币价格差异获得套利空间第四步:返还闪电贷资金第五步:把利润做跨链转移到以太坊,防止被追踪4、安全提示
由上述分析得知,黑客从项目方逻辑漏洞着手来获取利益是非常常见的手段。每次有新的平台被攻击时,其他平台管理者更应该提高警惕,第一时间检查复盘自己的代码有没有相同或类似的漏洞,从而保障自己的口碑和资金安全。同时,知帆科技提醒广大用户,在某一项目被攻击时,需加强对同链或同类项目的关注。若用户已经投入资金在类似项目,更加需要关注项目方的代码或网络上有没有对该项目的安全做出的评估辅助评判项目的安全性。
Part1本周深度主题No.1Gas费回到1年前,下个月执行EIP-1559本周值得关注的一个数据是以太坊Gas费中位数的7日均值降至13个月以来低点,为19.955Gwei.
1900/1/1 0:00:00DeFi作为一种新兴的金融形式,在没有中央中介机构或类似于银行、经纪公司等管理机构的情况下依靠智能合约完成运转,DeFi的目标是通过取代传统机构、消除信息壁垒和降低专业费用.
1900/1/1 0:00:002021年6月29日波卡上兼容以太坊的智能合约平台Moonbeam成功为其在Kusama上的姐妹网络Moonriver赢得Kusama平行链插槽竞拍,并将其作为平行链连接至Kusama.
1900/1/1 0:00:00Odaily星球日报译者|Moni 让我们想象这样一个场景:某种NFT可以拥有其他NFT并能让它们做事——这似乎是一个疯狂的主张,但如果我们使用RMRK2.0构建内容.
1900/1/1 0:00:00BTC行情分析周一加息鹰牌妥协,美债利率下行的影响下,美股带动整个加密货币板块上涨,开启了无量探底之后的一波反弹行情,周一的时候我们已经定性这是一次反弹的行情走势.
1900/1/1 0:00:00美联储今日凌晨开完议息会议,释放出鹰派信号,市场似乎反应平平,一些悲观者此前的担忧烟消云散。有观点认为:美联储释放鹰派信号后,之所以会出现稳定的市场反应,很可能是因为此前通胀预期已经计入比特币价.
1900/1/1 0:00:00