月亮链 月亮链
Ctrl+D收藏月亮链
首页 > PEPE币 > 正文

ETH:闪电贷攻击频发,带你回顾BT.Finance遭受攻击事件始末_FINA

作者:

时间:1900/1/1 0:00:00

2020年,闪电贷攻击频发,成为安全事故中的“新常态”。

2021年,对于黑客来说,闪电贷攻击看起来依旧是“盛宠不衰”。

北京时间2月9日,CertiK安全技术团队发现智能DeFi收益聚合器BT.Finance遭受黑客攻击。

BT.Finance已暂时停止了向Curve.fi存款,以防止再次被攻击。受攻击的策略包括ETH、USDC和USDT,其他策略不受影响。

BT.Finance表示,有用于保险和赔偿的管理资金,为了投资者和DeFi的良好发展,希望黑客能够将资金归还。

慢雾:Inverse Finance遭遇闪电贷攻击简析:据慢雾安全团队链上情报,Inverse Finance遭遇闪电贷攻击,损失53.2445WBTC和99,976.29USDT。慢雾安全团队以简讯的形式将攻击原理分享如下:

1.攻击者先从AAVE闪电贷借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子获得5,375.5个crv3crypto和4,906.7yvCurve-3Crypto,随后攻击者把获得的2个凭证存入Inverse Finance获得245,337.73个存款凭证anYvCrv3Crypto。

2.接下来攻击者在CurveUSDT-WETH-WBTC的池子进行了一次swap,用26,775个WBTC兑换出了75,403,376.18USDT,由于anYvCrv3Crypto的存款凭证使用的价格计算合约除了采用Chainlink的喂价之外还会根据CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的实时余额变化进行计算所以在攻击者进行swap之后anYvCrv3Crypto的价格被拉高从而导致攻击者可以从合约中借出超额的10,133,949.1个DOLA。

3.借贷完DOLA之后攻击者在把第二步获取的75,403,376.18USDT再次swap成26,626.4个WBTC,攻击者在把10,133,949.1DOLAswap成9,881,355个3crv,之后攻击者通过移除3crv的流动性获得10,099,976.2个USDT。

4.最后攻击者把去除流动性的10,000,000个USDTswap成451.0个WBT,归还闪电贷获利离场。

针对该事件,慢雾给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/6/16 4:32:58]

此外,BT.Finance提款费用保护使这次攻击的损失减少了近14万美元。ICOAnalytics对此表示,受影响资金约为150万美元。

PeckShield: Impossible Finance 攻击者利用 ElevenFinance 漏洞对其进行闪电贷攻击:北京时间 6 月 23 日,PeckShield 派盾预警显示,Impossible Finance 攻击者利用 ElevenFinance 的逻辑漏洞再次对 DeFi 协议 ElevenFinance 进行闪电贷攻击,请用户注意规避风险。[2021/6/23 23:59:22]

CertiK安全技术团队立即展开分析,现将攻击流程细节分析如下:

攻击者首先从dydx中使用闪电贷借出约100000个ETH。

声音 | V神:Uniswap v2能够抵御闪电贷攻击:V神(Vitalik Buterin)今日转发Uniswap创始人Hayden Adams的推文并评论称:“计划中的Uniswap v2价格预言设计能够抵御最近的闪电贷攻击。”[2020/2/19]

攻击者将大约57000个ETH存到CurvesETH池中。

攻击者从CurvesETH池中取出sETH,由于存入了大量的ETH,导致sETH的价格上升,此时攻击者取出了约35000个sETH。

攻击者将大约4340个ETH存入bt.financeETH策略池中。

攻击者调用earn函数。

攻击者将步骤3中取出的sETH全部存入CurvesETH池中并取出ETH,最后触发bt.financeETH策略池的withdraw函数,取出全部存入该池中的ETH。

重复上述2-5步骤5次,并归还闪电贷,完成获利。

攻击者单次攻击进行的交易

攻击者进行了五次相同的攻击

安全建议

高收益必定伴随着高风险。

区块链的每一个应用版块几乎都包含了智能合约,而针对底层代码和设计模式的安全审计是保护项目的首要之事。

CertiK再次建议项目方注意规避风险,投资者在投资前认准项目是否具备完整的安全审查及后续的安全保障。

截止到2020年底,CertiK已经进行了超过369次的安全审计,审计了超过198,000行代码,并保护了价值超过100亿美元的加密资产。

参考链接

0xc71cea6fa00d11e98f6733ee8740f239cb37b11dec29e7cf85d7a4077977fa65

https://twitter.com/doug_storming/status/1358896348276391939?s=20

标签:ETHANCFINAFINETHA币xWIN FinanceYFDai FinanceZonoSwap Finance

PEPE币热门资讯
以太坊:以太坊2.0主网客户端性能比较:Lighthouse、Lodestar等_eth钱包地址怎么注册

基于最新的性能指标比较以太坊2.0主网上所有可用的客户端。2020年12月以太坊2.0信标链发布之后,现在是时候介绍以及比较现有的协议实现了.

1900/1/1 0:00:00
ETH:金色说明书 | HashBridge 挖矿教程_ETH2.0

DeFi流动性挖矿火爆一时,吸引了大量投资者参与。为了方便投资者及时了解DeFi挖矿项目的相关信息和挖矿流程,金色财经推出了“金色说明书”系列挖矿教程.

1900/1/1 0:00:00
NFT:社会资本创始人Chamath:NFT是加密货币即将爆发的下一领域_ABChain

社会资本创始人Chamath:NFT是加密货币即将爆发的下一领域CryptoC刚刚11编者按2021年1月,围绕游戏驿站上演的散户与华尔街机构的多空大战已经被载入史册.

1900/1/1 0:00:00
EFI:美国圣路易斯联储报告:DeFi的4大机会与6大风险_DEF

美国圣路易斯联邦储备银行官方网站近日刊登了一份名为《去中心化金融:基于区块链和智能合约的金融市场》的报告,报告对DeFi的主要应用场景以及未来的机会和风险进行了详细的分析.

1900/1/1 0:00:00
比特币:分析 | 机构投资加密市场的兴趣才刚刚开始_比特币价格历史走势图

当比特币价格徘徊在3万美元的临界点附近时,一大批专家警告投资者要做好应对冲击的准备,这表明比特币这一加密资产正处于调整的边缘,可能再次跌至2万美元左右的区域.

1900/1/1 0:00:00
FIN:Findora携手BSN国际,共筑隐私保护的金融基础设施_DOR

基于零知识证明的去中心化金融科技提供者Findora今日宣布,已与国际区块链服务网络达成合作。本次合作将助力BSN的网络基础架构通过SDK或API与Findora集成,旨在支持其开发人员使用Fi.

1900/1/1 0:00:00