比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

一文盤點近兩周Flashloan漏洞案例_SHA

Author:

Time:1900/1/1 0:00:00

據2021年5月的CipherTrace報告指出:截止至2021年4月底,加密領域的盜竊、黑客攻擊和詐騙金額達到4.32億美元,而Defi黑客攻擊案例占所有黑客攻擊的60%以上,這個數據高于2020年的25%。下圖可以很明顯的看出DeFi黑客攻擊案例逐年增加,2021年Q2被盜金額約1.3億美元。

在眾多DeFi黑客攻擊案例中,Flashloan無疑是最常發生的一種黑客攻擊類型。Flashloan是一種無抵押、無擔保的貸款,可以在短期時間內提供大量資金,它貸款的智能合約必須在其出借的同一交易中完成,因此借款人必須使用其他智能合約從而幫助他在交易結束前與貸款資金進行即時交易。而這就導致了黑客可以利用代碼的漏洞,操縱定價并從中獲利。我們盤點了近兩周FlashLoan黑客攻擊的案例:1.PancakeBunnyBSC生態5月19日PancakeBunny遭到來自外部開發人員的閃電貸攻擊,黑客使用PancakeSwap借入了大量BNB,之后繼續操縱USDT/BNB以及BUNNY/BNB價格,從而獲得大量BUNNY并進行拋售,導致BUNNY價格閃崩,最后黑客通過PancakeSwap換回BNB。此次閃電貸攻擊,預計損失114,631.5421WBNB和697,245.5699BUNNY,合計約4500萬美元。代幣BUNNY的價格一度跌破2美元,最高跌幅一度超99%。2.BoggedFinanceBSC生態5月22日黑客對BOG代幣合約質押功能漏洞進行了閃電貸攻擊。該漏洞被設計為通過收取轉賬金額的5%來通縮。具體來說,在這5%的收費中,1%被銷毀,4%作為質押利潤的費用。但是,代幣合約的實施只收取轉賬金額的1%,但仍然虛增4%作為質押利潤。結果,攻擊者可以利用借貸來顯著增加質押金額,并反復進行自動轉賬以索取虛增的質押利潤。之后,攻擊者立即出售膨脹的BOG以獲得約360萬美元的WBNB。3.AutoSharkBSC生態5月24日AutoShark遭到閃電貸攻擊,據慢霧分析:1).攻擊者從Pancake的WBNB/BUSD交易對中借出大量WBNB;2).將第1步借出的全部WBNB中的一半通過Panther的SHARK/WBNB交易對兌換出大量的SHARK,同時池中WBNB的數量增多;3).將第1步和第2步的WBNB和SHARK打入到SharkMinter中,為后續攻擊做準備;4).調用AutoShark項目中的WBNB/SHARK策略池中的getReward函數,該函數會根據用戶獲利的資金從中抽出一部分手續費,作為貢獻值給用戶獎勵SHARK代幣,這部分操作在SharkMinter合約中進行操作;5).SharkMinter合約在收到用戶收益的LP手續費之后,會將LP重新拆成對應的WBNB和SHARK,重新加入到Panther的WBNB/SHARK交易池中;6).由于第3步攻擊者已經事先將對應的代幣打入到SharkMinter合約中,SharkMinter合約在移除流動性后再添加流動性的時候,使用的是SharkMinter合約本身的WBNB和SHARK余額進行添加,這部分余額包含攻擊者在第3步打入SharkMinter的余額,導致最后合約獲取的添加流動性的余額是錯誤的,也就是說SharkMinter合約誤以為攻擊者打入了巨量的手續費到合約中;7).SharkMinter合約在獲取到手續費的數量后,會通過tvlInWBNB函數計算這部分手續費的價值,然后根據手續費的價值鑄幣SHARK代幣給用戶。但是在計算LP價值的時候,使用的是PantherWBNB/SHARK池的WBNB實時數量除以LP總量來計算LP能兌換多少WBNB。但是由于在第2步中,Panther池中WBNB的數量已經非常多,導致計算出來的LP的價值非常高;8).在LP價值錯誤和手續費獲取數量錯誤的情況下,SharkMinter合約最后在計算攻擊者的貢獻的時候計算出了一個非常大的值,導致SharkMinter合約給攻擊者鑄出了大量的SHARK代幣;9).攻擊者后續通過賣出SHARK代幣來換出WBNB,償還閃電貸。然后獲利離開。此次事件致使AutoShark幣價閃崩,跌至0.01美元,跌幅達到99%以上。4.MerlinLabsBSC生態5月26日,DeFi收益聚合器MerlinLabs遭到攻擊,此次攻擊手法與PancakeBunny的攻擊手段相似,損失200ETH。5.JulSwapBSC生態5月27日DEX協議、自動化流動性協議JulSwap遭到閃電貸攻擊,$JULB短時跌幅逾95%。6.BurgerSwapBSC生態自動做市商BurgerSwap疑似遭遇閃電貸攻擊,被盜超過432,874個Burger,約330萬美元。攻擊者已通過1inch獲利變現。有投資者損失了近97%。7.BeltFinanceBSC生態5月29日BeltFinance遭遇閃電貸攻擊。攻擊者利用閃電貸,通過8筆交易從BeltFinance協議中獲得超過620萬美元資金,并將大部分資金轉換成anyETH并提取到以太坊。此次損失620萬美元。以上遭到黑客攻擊的項目都有一個相同點就是它們都屬于BSC生態。自5月份以來,BSC生態項目連續遭到閃電貸攻擊,總共損失已超1.57億美金。巨大的損失金額也給開發者敲響了警鐘:閃貸是開發人員在創建智能合約時必須考慮的事情。DeFi一直被認為是未來金融新范式,它的出現也讓我們能夠參與到全新的金融交易中。但是,由于技術堆棧的復雜性,某些功能可能會在系統的完全不相關的部分中被濫用,進而造成巨大的損失,這不僅損害了投資者的利益,也給項目、行業蒙上了污點,讓圈外人望而卻步。

NFT平臺服務提供商WISe.ART AG完成新一輪戰略融資:金色財經報道,納斯達克上市區塊鏈公司WISeKey International Holding Ltd.旗下子公司WISe.ART AG宣布完成新一輪戰略融資,The Hashgraph Association參投,但具體融資金額暫未公開披露。 WISe.ART AG公司旗下開發了基于Hedera區塊鏈網絡的NFT平臺WISe.ART ,提供對數字資產進行驗證和簽名的所有權證明、以及NFT鑄造和交易等服務,可支持創建與物理對象的不可逆鏈接,目前該平臺已完成增加對以太坊和Polygon的支持。(investorsobserver)[2023/8/7 21:29:03]

STG短時突破0.70 USDT,24H漲幅近47%:行情數據顯示,STG(Stargate Finance)短時突破0.70 USDT,先報0.6923 USDT,24H漲幅近47%。

金色財經此前報道,Stargate社區新提案提議,以市場價格向一家族辦公室出售價值200萬美元的STG。[2023/1/23 11:26:24]

Messari聯合The Graph推出Web3協議指標和數據工具:9月30日消息,加密分析平臺Messari宣布聯合去中心化索引協議The Graph推出Web3協議指標和數據工具,專注于協議指標,旨在創建Web3生態系統范圍基礎數據的工具。

包括基本面分析,類似于傳統金融,可以使用多種指標來衡量,例如:TVL、收入、存款、借款、還款、清算等。通過與The Graph合作以及子圖的使用,Messari還創建了跨鏈和協議的“like for like”比較。這與市場上的任何工具都不同,因為它的覆蓋范圍沒有差距,并且完全可擴展。[2022/9/30 6:04:31]

以太坊核心開發者Tim Beiko發布分配20萬枚ENS支持Protocol Guild Pilot的提案:5月26日消息,以太坊核心開發者 Tim Beiko 與以太坊基金會成員 Trent Van Epps 聯合發布了分配 20 萬枚 ENS 支持 Protocol Guild Pilot 的提案。Protocol Guild Pilot 旨在開發一種去中心化工具,其合約將作為一種自主的價值路由機制,使得項目可以將治理代幣分配給為項目做出貢獻的組織和個人。該提案表示,分配 20 萬枚 ENS 的價值在于激勵以太坊核心貢獻者、允許貢獻者更多地參與治理、使得協議治理更去中心化等。

此前,Protocol Guild Pilot 成員已在 Lido 以及 Uniswap 社區發起了向該組織分配 200 萬枚 LDO 以及 50 萬枚 UNI 的提案。[2022/5/26 3:42:55]

Tags:SHARKSHAARKBNBStarSharks SEAPEPEDASHAI幣ark幣行情為什么BNB賣不了

歐易交易所app官網下載
DNFT:跨鏈NFT協議的探索_MEW

在早期,NFT以數字收藏品、數字藝術品為主,但NFT的內涵遠不止這些。NFT的未來會是可以跟DeFi領域相媲美的領域。關于NFT可以參考藍狐筆記之前的文章《NFT的狂暴》.

1900/1/1 0:00:00
從郭德綱的「雅與俗」相聲理念來看比特幣與山寨幣的關系_加密貨幣

在目前的加密貨幣世界中,比特幣無論是市值、算力或是共識,都占據著絕對統治地位。即便如此,曾經在圈外人看來,投資比特幣是一種很Low的行為,也就形成了一種投資圈的"鄙視鏈".

1900/1/1 0:00:00
淺談Apricot壞賬處理機制(一):資產證券化與DeFi平臺壞賬處理_WEB

壞賬處理問題一直以來是所有DeFi協議面臨的最棘手的問題之一,傳統金融如銀行針對無法處理的壞賬往往采取由政府進行兜底的處理方式.

1900/1/1 0:00:00
Layer1新公鏈機會與Layer2的潛行和爆發_ANT

早在2017年,以太坊和比特幣擁堵的情況已經出現,為滿足用戶新的需求,眾多開發團隊陸續提出了不同的解決方案.

1900/1/1 0:00:00
人物志:加密藝術家Hackatao | 不一樣的「NFT」 -- N詞貼_TAO

Hackatao部分作品來源丨CryptoArt.ioN詞貼|加密藝術家Hackatao嘻哈傳奇人物Snoop Dogg與電音先驅青木合作發布NFT EP:5月20日消息.

1900/1/1 0:00:00
薩爾瓦多比特幣合法化究竟是變革還是炒作?歡呼的背后可能要更加復雜_CHIV

6月9日,薩爾瓦多議會通過決議,正式批準比特幣作為該國的法定貨幣。薩爾瓦多這個中美洲國家成為全球首個承認比特幣為法定貨幣的國家.

1900/1/1 0:00:00
ads