比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

被盜3000萬美金 全面復盤BSC鏈上首次閃電貸攻擊_PAR

Author:

Time:1900/1/1 0:00:00

在DeFi的世界里,借助于智能合約,個人創建金融產品的門檻被大幅降低。人們可以根據自己的需求,自由地設計自己的金融產品,并通過組合實現方便地交易。

目前,隨著DeFi協議的組合愈發豐富,涌現出大量“貨幣樂高”的協議,從以太坊生態中的初代去中心化交易所Uniswap,到二代進化版的Sushiswap,再到幣安智能鏈生態中的PancakeSwap,但組合過程中的風險也逐漸凸顯出來。

5月2日,DeFi協議SpartanPotocol遭到黑客攻擊,PeckShield「派盾」通過追蹤和分析發現,SpartanPotocol?遭到閃電貸攻擊,損失3,000萬美元。

斯巴達協議(SpartanProtocol)是一個資產流動性項目,旨在解決現有AMM協議以及合成資產所出現的各類問題。斯巴達協議的流動性池是此協議的核心,所有一切系統內的相關應用都離不開流動性池的支持。SpartanSwap應用了THORCHAIN的AMM算法。此算法采用流動性敏感資費來解決流動性冷啟動以及滑點問題。

148個持有PYR(Vulcan Forged)的錢包被盜約450萬枚PYR:12月13日消息,據Vulcan Forged(鏈游項目)官方推特稱,148 個持有 PYR 的錢包遭到入侵。超過 450 萬 PYR 已被盜。隨后表示:1. 我們無能為力,他們無法從 PK 被盜且資金未轉移的錢包中取出資金。2. 我們正在轉向一個完整的去中心化錢包設置。3.所有被盜的PYR將由我們的國庫代替。[2021/12/13 7:36:05]

以下是攻擊過程:首先攻擊者從PancakeSwap中借出閃電貸10,000WBNB;

第二步,攻擊者在出現漏洞的Spartan兌換池中,分五次將WBNB兌換成SPARTAN,用1,913.172376149853767216WBNB分別兌換了621,865.037751148871481851SPARTA、555,430.671213257613862228SPARTA,499,085.759047974016386321SPARTA,450,888.746328171070956525SPARTA,和409,342.991760515634291439SPARTA。此時攻擊者手撰2,536,613.206101067206978364SPARTA以及11,853.332738790033677468WBNB,攻擊者將這些Tokens注入流動池中提供流動性,鑄造出933,350.959891510782264802代幣(SPT1-WBNB);

區塊鏈分析公司:Kucoin被盜比特幣正通過加密貨幣混合器轉移:區塊鏈分析公司Elliptic的首席科學家兼聯合創始人Tom Robinson表示,Kucoin被盜資金本周初開始流動。這一過程仍在進行中,但是在被盜的1008 BTC中,已有425 BTC被發送至加密貨幣混合器ChipMixer。(The Block)[2020/10/29]

第三步,攻擊者運用同樣的手法,在出現漏洞的兌換池中分十次將WBNB兌換成SPARTAN,用1,674.025829131122046314WBNB分別兌換了336,553.226646584413691711SPARTA,316,580.407937459884368081SPARTA,298,333.47575083824346321SPARTA,281,619.23694472865873995SPARTA,266,270.782888292437349121SPARTA,252,143.313661963544185874SPARTA,239,110.715943602161587616SPARTA,227,062.743086833745362627SPARTA,215,902.679301559370989883SPARTA,和205,545.395265586231012643SPARTA,總計2,639,121.977427448690750716SPARTA。

動態 | Cryptopia清算人呼吁代幣開發者幫助找回被盜資金:今年早些時候,加密貨幣交易所Cryptopia遭受了黑客攻擊,價值超過1600萬美元的以太坊和ERC-20代幣被盜。幾周前,負責領導Cryptopia清算流程的新西蘭會計公司均富會計師事務所(Grant Thornton)通過電子郵件聯系了受影響的代幣項目開發者,安排于10月7日進行一次網絡研討會議,共同解決問題,并幫助協調識別和返還客戶資金的復雜任務。(decrypt)[2019/10/7]

第四步,攻擊者將21,632.147355962694186481WBNB和所有的SPARTA,即上面三步中所獲的?2,639,121.977427448690750716SPARTA轉入流動池中,來抬高資產價格。

CroptoGo分析:加密貨幣常見的被盜方式大約為5種:據CroptoGo資料顯示,一些最常見的盜竊方法有暴力強制、電話移植、網絡釣魚、龐氏騙局和挖掘惡意軟件等。使用加密備份、防病軟件和多因素身份驗證可防止加密盜竊。[2018/3/22]

第五步,燒毀從第二步所獲得的933,350.959891510782264802代幣(SPT1-WBNB),提回流動性,由于流動池處于通脹狀態,共計燒毀2,538,199.153113548855179986SPARTA和20,694.059368262615067224WBNB,值得注意的是,在第二步中,攻擊者僅兌換了11,853.332738790033677468WBNB,此時攻擊者獲利9,000WBNB;

第六步,攻擊者在第四步中注入1,414,010.159908048805295494pooltoken為流動池提供流動性,隨即啟動燒毀機制獲取2,643,882.074112804607308497SPARTA和21,555.69728926154636986WBNB。

攻擊者調用了流動性份額函數calcLiquidityShare()查詢當前余額,進而操縱余額套利,正確的操作需使用baseAmountPooled/tokenAmountPooled狀態。

DeFi系統的運行需要由智能合約進行保證,這就要求智能合約的代碼進行過縝密的審核。一旦智能合約中存在著任何漏洞,它就可能成為黑客攻擊的對象。

在傳統的條件下,黑客們攻擊金融系統時所憑借的主要是他們在計算機技術上的優勢,而在現有的DeFi生態下,由于各鏈、各應用之間的互通性還并不是那么好,因此跨鏈、跨應用之間的套利機率可能較大。這時,即使一個計算機本領不那么強的人,只要他有足夠的金融知識和足夠的市場嗅覺,就也可以成為黑客,對DeFi系統進行攻擊。

黑客通過區塊鏈上的閃電貸,以很小的成本借出大筆資金,然后用這筆資金去造成一些數字資產的價格波動,再從中漁利,最初興起于以太坊,隨著幣安智能鏈等CeFiDeFi生態上的資產愈發豐富,黑客也在隨時伺機待發。

PeckShield「派盾」相關負責人表示:“攻擊手法仍換湯不換藥,只是從一條鏈轉到了另一條鏈,DeFi協議開發者應在攻擊發生后,自查代碼。如果對此不了解,應找專業的審計機構進行審計和研究,防患于未然。”

Tags:PARTARTPARSPARTASpartacatsThe Earth ShibaYield Parrotspartanprotocol

狗狗幣最新價格
Gate.io Startup首發項目Lever Token (LEV)認購結果及上線交易公告_TPS

1.關于首發項目LeverToken(LEV)認購結果Gate.ioStartup首發項目LeverToken代幣LEV于2021年05月05日20:00開始認購下單,6小時內下單同等對待.

1900/1/1 0:00:00
關于WBF上線DRG的公告_COM

尊敬的用戶: WBF即將在開放區Defi板塊上線DRG/USDT交易對,具體上線時間為:充值時間:2021-05-0120:00交易時間:2021-05-0220:00提幣時間:2021-05-.

1900/1/1 0:00:00
《創智贏家》明星Kevin O''Leary:以太坊將永遠排在比特幣之后_比特幣

盡管以太坊的價格本周達到了歷史最高水平,但KevinO’leary仍然認為比特幣將繼續位居代幣榜首.

1900/1/1 0:00:00
ZD關于DSL映射FILI并鏈兌換的公告_區塊鏈

尊敬的用戶: 經項目方申請,平臺將于2021年5月13日0:00——2021年5月15日0:00開啟DSL映射FILI并鏈兌換.

1900/1/1 0:00:00
數字元發布會臨近:京東員工在e-CNY,騰訊,螞蟻,萬事達卡中與中國人民銀行簽約_CBD

與世界上其他許多國家相比,中國是世界上人口最多的國家,在創建中央銀行數字貨幣方面已取得了突飛猛進的發展.

1900/1/1 0:00:00
虎符關于SLP(Small Love Potion)合約地址更換的公告_智能鏈

尊敬的虎符用戶: SLP將部署新合約,為了配合項目方做好換幣的相關準備工作,虎符現已暫停SLP充提。待升級完成后我們將第一時間恢復,具體時間請留意虎符的最新公告.

1900/1/1 0:00:00
ads