前言
6月20日,BSC鏈上的DeFi項目ImpossibleFinance突然遭遇閃電貸襲擊,本是漲勢喜人的IF代幣從此也一蹶不振,價值一路下滑。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。
事件分析
第一階段:準備階段
跨國公司DSS宣布已完成收購Impact BioMedical的交易:跨國公司Document Security Systems(DSS)宣布公司已完成收購Impact BioMedical的交易。
該公司對Impact BioMedical的長期計劃包括通過IPO將其上市。據稱,在進行該IPO的同時,DSS預計將向其股東(除DSS的控股股東和董事長的公司集團之外)派發由Impact BioMedical股票組成的兩部分股息,即每持有1股DSS普通股,股東將有權獲得4股Impact股票的紅利,即紅利股。計劃中的第一批紅利股旨在為股東所持的每1股DSS股票提供2股Impact BioMedical股票。預計DSS董事會將在近期召開會議,為這一部分設定一個記錄日期。
據悉,DSS經營品牌保護技術、區塊鏈安全、直銷、醫療保健、房地產和證券化數字資產。(Globe Newswire)[2020/8/21]
圖1:黑客準備階段流程圖從黑客準備階段流程圖中我們可以看到黑客的最終目的是創建AAA代幣與IF代幣流動性。為此他的具體操作:第一步:獲取IF代幣(利用閃電貸從PancakeSwap中獲取WBNB代幣,并將其兌換成IF代幣)
DigitalMint總裁:比特幣‘Bart Simpson’模式或多次重現:本周比特幣的暴漲和暴跌讓一些投資者摸不著頭腦。在突破了1萬美元大關后不久就又跌破了這一關口,形成了所謂的“Bart Simpson”模式。這一行情走勢因與卡通人物Bart Simpson的發型相似而得名。DigitalMint聯合創始人兼總裁Marc Grens表示,由于短期需求的顯著變化、衍生品使用的增加,以及傳統資產之間相關性的變化,這種模式在加密貨幣領域建立的可能性更高。Grens稱:“在當前全球經濟衰退以及在封禁解除后復蘇期間,由于短期內流動性的大幅變化和增加,‘Bart Simpson’模式將繼續重現。”(彭博社)[2020/6/4]
聲音 | Arianna Simpson:新一代公鏈面臨比早期比特幣更嚴峻的挑戰 更容易被攻擊:加密資產投資基金ASP創始人兼運營負責人Arianna Simpson發布推文陳述了一個觀點,認為「即將上線的一系列底層公鏈將面臨比早期的比特幣更加嚴峻的挑戰」。具體來說,這些備受矚目的公鏈項目面對的情形要比比特幣和以太坊當年推出時的狀況復雜得多。這些市值靠前的公鏈項目,自打一誕生起就備受期待,動不動獲得數十億美元(這個數字還在不斷攀升)的投資,從而也將催生更有經濟動力的攻擊,隨著新一代區塊鏈技術變得越來越復雜,系統脆弱性和攻擊面變得越來越大,更容易出現bug,而攻擊者也更有經濟上的動機去進行惡意攻擊獲利。與此同時,今天的區塊鏈項目是站在巨人的肩膀上,受益于早期區塊鏈項目的技術經驗,開發者也對此抱有更高的預期。此外,TokenDaily補充了一點,認為由于以太坊強大的社區生態和先發優勢,今天新一代的智能合約公鏈項目,將難以獲得來自以太坊網絡中的開發者的注意力。[2019/9/2]
第二步:創建可控代幣AAA(BBB)
第三步:在Impossible中添加了AAA代幣與IF代幣流動性
第二階段:攻擊階段
圖2:黑客攻擊階段流程圖從黑客攻擊階段流程圖中我們可以看到黑客的最終目的是獲得BUSD代幣。他的具體操作:第一步:通過Router合約設置兌換路徑(AAA->IF->BUSD)第二步:在同一兌換過程中進行了兩次兌換操作
第三步:兌換可獲利的BUSD代幣,并兌換IF代幣為下次攻擊做準備
攻擊原理分析
為什么黑客要在同一兌換過程中進行兩次兌換操作?理論上每次兌換操作都將導致K值的變化,用戶一般無法獲得預期數量的代幣。既然黑客這樣操作并獲利,那么一定在合約某處出了問題。果然檢查源碼發現了問題:
cheapSwap函數并沒有檢查K值變化,直接更新價值變化。這就是黑客通過多次兌換操作獲得額外BUSD代幣的原因。總結
本次閃電貸安全事件主要是由于項目方在參考Uniswapv2協議進行創新時,沒能及時對創新內容進行安全驗證。雖然對cheapSwap函數做了限制,但是對其本質的安全性——價格變動卻忽視了,這是不應該的。近期,BSC鏈上頻頻爆發攻擊事件,合約安全愈發需要得到迫切重視。BSC官方目前也發推稱推測有黑客團隊盯上BSC,叮囑各項目方注意規范,合約審計、風控措施、應急計劃等都有必要切實落實。
前言 幣安智能鏈由于其手續費低廉、出塊速度快的特點,吸引了大批DeFi協議,助長了BSC鏈上DeFi生態的發展,而也由此逐漸成為黑客眾矢之的.
1900/1/1 0:00:00阿爾法收益、貝塔收益是大家在投資過程中經常聽到的兩個概念,被廣泛應用于評估股票,基金或投資組合績效。阿爾法用來衡量與市場指數相比較的投資回報,貝塔用來衡量投資的波動性,表明其相對風險.
1900/1/1 0:00:00編譯:BlockUincorn文章來源:zksync介紹面對最大的技術挑戰,我們正朝著在EVM兼容環境中部署智能合約開始沖刺.
1900/1/1 0:00:00萬眾矚目的波卡平行鏈插槽拍賣終于要來了。5月18日,波卡先行網Kusama順利部署了首條平行鏈Shell,雖然這只是一條除了可升級外不具備任何實際效用的空鏈,卻為Kusama乃至整個波卡生態系統.
1900/1/1 0:00:00頭條 世界銀行:無法幫助薩爾瓦多實施比特幣相關法案世界銀行表示:鑒于環境和透明度方面的缺陷,無法幫助薩爾瓦多實施比特幣相關法案。將致力于幫助薩爾瓦多,包括提高貨幣透明度和監管程序.
1900/1/1 0:00:00上周福布斯雜志發布了一片關于視頻NFT的文章,文章提到電影和流媒體可能是NFT的下一個前沿領域.
1900/1/1 0:00:00