據慢霧區消息,2021年2月13日,以太坊DeFiAlphaFinance遭受攻擊,慢霧安全團隊第一時間跟進分析,并以簡訊的形式分享給大家,供大家研究。
1.攻擊者用一部分的WETH在UniswapWETH-UNI池子上添加流動性,再把一部分的WETH兌換成sUSD并在Cream中添加流動性獲得cySUSD憑證。
2.攻擊者通過AlphaHomoraV2從IronBank借出sUSD,并將LP抵押到WERC20中為后面開杠桿做準備。
3.攻擊者再通過AlphaHomoraV2將上一步借出的sUSD歸還給IronBank。
4.上面幾步似乎只是試探。
5.隨后攻擊者開始利用AlphaHomoraV2的杠桿借貸從IronBank中循環借出sUSD,每次借出數量都是上一次的一倍,最后將借出的sUSD再轉到Cream中添加流動性獲得cySUSD憑證。
HashKey將于8月28日發布面向散戶的交易平臺應用程序:8月21日消息,HashKey將于8月28日發布面向散戶的交易平臺應用程序。HashKey Group首席運營官翁曉奇表示,散戶最初可投資BTC與ETH,并會限制對虛產的投資不能超過總資產的30%。翁曉奇表示,回味散戶設立分級制度,將會通過KYC評估投資者過去經驗及風險承擔能力,并設問卷判斷對于虛擬資產是否有證券理解,新手參與的投資相對有限。第一批散戶只能交易比特幣與以太坊,目前市場七八成交易集中在這兩個幣種。他表示,目前香港證監會尚未批準保證金及衍生品交易工具,未來當監管許可時,亦會為相關產品分級,向不同類型用戶推出各類產品。[2023/8/21 18:12:33]
6.之后攻擊者不滿足于這種低效的杠桿循環借貸疊cySUSD的方式,開始使用閃電貸加快速度。
美股三大指數集體收漲,SilverGate跌近58%創IPO以來最大單日跌幅:金色財經報道,美股三大指數集體收漲,道指漲1.05%,標普500指數漲0.76%,納指漲0.73%。SilverGate收跌近58%,創該公司美國IPO以來最大單日跌幅。
此前報道,Silvergate推遲公布年報,或面臨美司法部、銀行監管機構等調查。[2023/3/3 12:39:23]
7.攻擊者開始從AAVE中閃電貸借出180萬USDC,并通過Curve將USDC兌換成sUSD,這時候攻擊者就拿到了大量的sUSD了。
8.隨后攻擊者先用sUSD到Cream中添加流動性,并獲得cySUSD憑證,再開始繼續使用AlphaHomoraV2的杠桿借貸從IronBank中循環翻倍的借出sUSD,最后利用借出的sUSD去歸還閃電貸。(償還的閃電貸中有包含先前幾步的一部分sUSD作為利息,因為最后一步借出的不足以還貸,但都是拿從Alpha借的去還的)
Cobo推出DeFi as a Service產品Cobo Argus:金色財經消息,Cobo團隊宣布推出DeFi as a Service產品Cobo Argus,Cobo Argus是一種全新的服務形式,目的是幫助機構團隊和DAO組織高效并安全地訪問鏈上DeFi協議。
據官方介紹,Cobo Argus可以在三種環境中實現:集中式(托管)平臺、智能合約平臺和專用區塊鏈(支持跨鏈、跨層的資產管理和協議交互)。Cobo Argus根據機構用戶團隊成員所扮演的不同角色,比如交易員、流動性礦工、基金管理人、會計、財務人員等,授予與其職位相當的權力,將整體資產的控制權分層。[2022/8/4 5:21:48]
9.重復上一步,閃電貸借出1000萬USDC,換成sUSD,先添加在Cream中,添加9,668,335的流動性拿到cySUSD,再繼續杠桿借貸,最后翻倍到10,088,930應該基本把池子借空了。然后開始重復添加流動性,獲取cySUSD。最后再去歸還閃電貸。
Nium和Stellar發展基金會支持在190個國家/地區進行支付:金色財經報道,現代貨幣流動的全球平臺Nium和支持開源公共區塊鏈Stellar發展和增長的非營利組織Stellar Development Foundation(SDF)今天宣布建立合作伙伴關系,以便向190個國家/地區支付款項。
企業現在可以在Stellar上為190個國家/地區的法定支付提供便利,Stellar是一個專為快速高效支付而構建的網絡。Stellar更快、更方便的跨境支付方式改進了傳統的代理銀行系統,加速了資金的接收,降低了結算風險,并取消了預融資要求。(finextra)[2022/6/23 1:26:00]
10.再閃電貸借出1000萬,再重復添加流動性與借貸,獲取cySUSD并歸還閃電貸。
11.由于經過以上步驟攻擊者已獲得大量cySUSD,因此攻擊者開始直接在Cream借出WETH、USDC、USDT、DAI、sUSD。
總結:攻擊者使用閃電貸到AlphaFinance中進行杠桿借貸,并使用AlphaFinance本身的CreamIronBank額度來歸還閃電貸,在這個過程中攻擊者通過在Cream添加流動性獲得了大量的cySUSD,使攻擊者得以用這些cySUSD在CreamFinance中進行進一步的借貸。由于AlphaFinance的問題,導致了兩個協議同時遭受了損失。
往期回顧
BitMart入駐慢霧區,發布「安全漏洞與威脅情報賞金計劃」
引介|一種安全的LP價格的獲取方法
千萬美元損失背后的閃電貸攻擊——yearnfinance被黑簡析
如何通過恒定乘積黑掉SushiSwap?簡析SushiSwap第二次被攻擊始末
慢霧科技三周年啦!
慢霧導航
慢霧科技官網
https://www.slowmist.com/
慢霧區官網
https://slowmist.io/
慢霧GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
幣乎
https://bihu.com/people/586104
知識星球
https://t.zsxq.com/Q3zNvvF
火星號
http://t.cn/AiRkv4Gz
鏈聞號
https://www.chainnews.com/u/958260692213.htm
免責聲明:作為區塊鏈信息平臺,本站所發布文章僅代表作者個人觀點,與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考,并非作為或被視為實際投資建議。
本文來源于非小號媒體平臺:
慢霧科技
現已在非小號資訊平臺發布68篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/9682875.html
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
盤點零知識證明代表性項目:如何影響和塑造區塊鏈生態系統?
本文是MessariCrypto研究分析師MasonNystrom的研究報告,由taoshengshi編譯并解讀。一言以蔽之——Web3是互聯網的下一個時代.
1900/1/1 0:00:00編者按:本文來自?彩云區塊鏈,Odaily星球日報經授權轉載。根據數據網站ClarkMoodyBitcoin的數據,比特幣礦工每個區塊可以賺取0.97BTC的交易費.
1900/1/1 0:00:00根據BasisCash官方消息,BasisCash已經開啟向BasisCashV2的遷移計劃。用戶需要將BAS代幣兌換為BASV2代幣。Gate.io將會支持此次遷移,并用戶提供兌換服務.
1900/1/1 0:00:00Gate.io“理財寶”上線至今推出許多款熱門幣種高年化率鎖倉/活期理財產品,始終緊跟市場步伐推出當下熱門的理財產品,深受用戶的喜愛與支持.
1900/1/1 0:00:00Yearnv1yDAI保險庫攻擊事件:CellETF始終致力于更豐富的安全體驗 Yearn遭受黑客攻擊 2月5日,據相關行情顯示,YFI短時快速下挫.
1900/1/1 0:00:00隨著KILT主網上線的臨近,KILT的CEO以及創始人IngoRübe分享了他們接下來幾個月的計劃.
1900/1/1 0:00:00