ANC:逻辑漏洞连环击 攻击者盯上了 Eleven Finance 这块羊毛地_TOKEN

北京时间6月23日，PeckShield「派盾」预警显示，BSC链上收益聚合器ElevenFinance中与Nerve相关的机池遭到闪电贷攻击。

PeckShield「派盾」通过追踪和分析发现，此次攻击源于ElevenFinance的Emergencyburn()计算余额错误，且未执行销毁机制，攻击者获利近460万美元。?

有趣的是，几个小时后，昨天刚从ImpossibleFinance薅得近50万美元的攻击者，利用ElevenFinance的漏洞，通过闪电贷攻击获利近52万美元。

何一：Binance上币逻辑尽量兼顾大部分用户需求，对Launchpad的项目方钱包和做市商账号有监控:6月4日消息，Binance 联合创始人何一在社交平台与社区探讨 Binance 上币标准时表示，Binance 上币不是某一个人说了算，在上币逻辑上尽量兼顾大部分用户需求，只是谣言和诋毁更有传播度，欢迎各位大 v 把今年上的所有项目，挨个拉出来做分析对比。

此外，针对个别币种上架 Binance 后表现不佳以及部分小币种暴涨暴跌现象，何一表示 Binance 对 Launchpad 的项目方钱包和做市商账号有监控，Launchpad 项目 Token 目前要求项目方 Token 多方托管，作为互相监督的一部分。[2023/6/4 21:14:50]

第一个攻击者创建了4个合约，进行了5次攻击。

观点：区块链应用最大阻力是技术共识逻辑影响了既得利益者:全国社会保障基金理事会原副理事长王忠民在《寻找区块链力量》节目中表示，今天区块链应用最大的阻力不是技术，不是前端场景的拓展，而是因为区块链是分布式的，是技术的共识逻辑替代了原有的中心化一切的金融逻辑与社会组织、社会生产逻辑。而原有的这些，无论是制度规定、制度执行、监管和组织体，一定是这当中的既得利益者。（新浪财经）[2020/9/10]

PeckShield以合约0x8b29为例简述攻击过程：

首先，攻击者从PancakeSwap中借出953,869.6BUSD，并将其中340,631.2BUSD兑换474,387.75NRV；

声音 | 陈伟星：任何没有收益逻辑的“币”，都是子和无知者的工具:泛城资本创始人陈伟星发微博称：“我们只需要一个‘可被硬分叉威胁’的比特币，其他任何没有收益逻辑的‘币’，都是子和无知者的工具。”[2019/5/23]

随后，攻击者将474,378.75Nerve和366,962BUSD在PancakeSwap中添加流动性，获得411,515.3LPtoken；

攻击者将411,515.3LPtoken放入ElevenFinance中与Nerve相关的机池获得411,515.311nrvbusdLPtoken；

当攻击者提取PancakeLPtoken时，ElevenNeverSellVault中的Emergencyburn()函数本应销毁11nrvbusdLPtoken换回PancakeLPtoken，但Emergencyburn()并未执行burn这个动作，使得攻击者利用此逻辑错误获利。

该攻击者又创建了0x01ea合约，借出30.9BTCB；0xc0ef合约借出285.66ETH以及0x87E9借出两笔闪电贷2,411,889.87BUSD和7,693BUSD进行攻击。

攻击者通过利用集成的第三方合约功能进行攻击，这类问题较难检测到，例如，此前PeckShield「派盾」帮助RariCapital避免更大损失案例一样，在定位漏洞根源时，由于合约交互容易干扰安全人员的判断，PeckShield「派盾」建议，开发人员应谨慎与任意第三方协议进行交互。

DeFi协议开发人员在集成第三方协议并将其部署到生产运行之前，应充分了解合约及其分支项目的运行情况。DeFi协议开发人员应在项目上线前，先将其部署在测试网上进行测试并及时检查交易记录中的异常情况。

“太快了，攻击者从合约部署，到完成攻击，甚至到再次发起攻击，这一系列操作有时候快得让人有些反应不过来。”PeckShield「派盾」安全人员表示，“因此，事前审计，事中响应，事后提出及时有效的安全方案都是缺一不可的，谁都不知道攻击者会不会在下一秒发起攻击。”

标签：ANCNANNCETOKENCharged FinanceNANODOGEWhirl Financeshequtoken

ADA热门资讯