又一例閃電貸攻擊 Palmswap安全事件分析_USD

在 2023 年 7 月 24 日，Palmswap 遭受了一次閃電貸攻擊，導致失去了 901,455 USDT（約等于 901,000 美元）。由于項目的 PlpManager 合約存在漏洞，導致 USDP 計算錯誤，從而導致了此次攻擊。

在 2023 年 7 月 24 日，Palmswap 遭受了一次閃電貸攻擊，導致損失約 901,000 美元。攻擊最初是在區塊 30248637 上由外部擁有的地址（EOA）0x5cf40 嘗試發起的，但由于攻擊者耗盡了 gas 費用而失敗。

圖片：失敗的交易。來源：Bscscan原始攻擊者從以太坊網絡的 Tornado Cash 中提取了 1 個 ETH。然后，將 1 個 ETH 兌換成 USDT 并通過跨鏈橋轉移到幣安智能鏈（BSC）。隨后，將 USDT 兌換成 BNB 并用于創建攻擊合約。然而，不幸的是，攻擊者沒有足夠的 BNB 來覆蓋這次攻擊。

ARK基金創始人：比特幣是1600年代以來又一個新的資產類別:ARK基金創始人Cathiewood最近在MSCI主辦、CFAInstitute和萬得3C協辦的直播中表示，在互聯網發展的早期階段，很少有人想到它會和商業聯系在一起，因為早期的互聯網主要是為情報部門、國防部門和學術界服務的，直到1991年之前，大眾還不允許被使用互聯網。所以最初的互聯網理所當然的不存在支付系統，我們認為區塊鏈技術就是互聯網內生的支付平臺，而比特幣就是所有加密貨幣中的儲備貨幣，我們認為區塊鏈技術大部分的價值會在向少數幾種加密貨幣匯聚。至于以區塊鏈技術為核心的去中心化的金融幾乎已經發展出一個平行的金融服務生態系統，包括投資、租賃、衍生品，幾乎包含傳統金融服務的方方面面。區塊鏈技術還處于發展的初期，它風險很大，但我們相信對其生態系統的管控治理已經得到很大程度的改善，因為疫情之后加密資產的崩潰，以及很多投資者破產，使得對區塊鏈的管控更加完善。我們也看到越來越多的機構投資者開始投資比特幣，我們也知道比特幣的總體供應只有2100萬枚，而現在已經到了1900萬，所以它具備稀缺性的特征，使之可以被看成是數字黃金。我們認為機構投資者的介入是一劑強心劑，而且比特幣的價格跟其他加密資產并沒有什么相關性。因此，我們相信，比特幣是1600年代以來，我們發現的又一個新的資產類別。過去六個月，最讓我們驚訝的就是像特斯拉這樣的公司開始買入比特幣以分散持有現金的風險，這有可能是因為這些公司想在非洲拓展業務，而這些地區由于本國貨幣幣值不穩定，很難進行交易。[2021/3/26 19:19:28]

這讓 EOA 0xf84ef 能夠發現失敗的交易，理解并復制了區塊 30248638 的交易從而支付了正確數量的 gas 費用。

幣安智能鏈又一“土狗”項目Multi Financial跑路 上線1天卷走5000BNB:據幣安智能鏈投資者對吳說區塊鏈反饋，2月1日BSC上又有一“土狗”項目Multi Financial跑路，僅上線一天卷走約5000BNB。受損害的投資者表示已經報告幣安封鎖項目方地址，并向報警。近期BSC上出現多個跑路事件，popcornswap項目方卷走近48000個BNB，數日內還有三個項目（Zap Finance和Tin Finance、SharkYield）跑路，目前SharkYield跑路疑似帶走了6000個BNB。幣安方面此前表示，BSC是與以太坊一樣的公鏈，不應該為上面的項目負責，希望用戶務必謹慎投資，選擇優質的頭部項目參與。(吳說區塊鏈)[2021/2/1 18:35:56]

嘉楠科技面臨又一起集體訴訟:嘉楠科技面臨又一起集體訴訟。律師事務所Rosen代表嘉楠股票投資者對嘉楠科技首次公開募股（IPO）提起了訴訟。該律師事務所聲稱，由于在IPO過程中未能披露許多問題，導致投資者因其虛假和誤導性陳述而蒙受了損失。（Cointelegraph）[2020/3/5]

圖片：成功交易。來源：Bscscan由此可見，原始攻擊未能成功完成，是因為攻擊者沒有額外的 0.4 BNB 來支付交易費用。

一旦 EOA 0xf84ef 成功利用漏洞，被盜資金就會被轉移到了 EOA 0x0Fe74，目前仍在該地址中。

圖像：被盜資金轉移。來源：BscscanThe Palmswap 團隊已經聯系持有被盜資金的錢包，并試圖協商賞金。然而，BSC scan 似乎錯誤地標記了一個錯誤的錢包作為 Palmswap 的攻擊者：

聲音 | 末日博士：Bitfinex很可能通過新的Tether發行又一次操縱了比特幣:末日博士Nouriel Roubini剛剛發推，轉發了一條抨擊比特幣泡沫的推文和文章，并稱，這篇重要的文章顯示，隱藏在最新的比特幣泡沫背后的可能是什么。“最有可能的是BitFinex通過新的Tether發行又一次操縱了比特幣的拉升。”[2019/5/12]

圖片：鏈上消息提供賞金。來源：BscscanPalmswap 的官方 X 賬戶證實了其與黑客的談判已經開始。

圖片：Palmswap X 官方公告（來源：@Palmswaporg）攻擊過程漏洞利用交易：0x62dba55054fa628845fecded658ff5b1ec1c5823f1a5e0118601aa455a30eac9

金色財經現場報道 現代密碼學之父：近幾年是密碼學的又一次復興:金色財經現場報道，今日在Coindesk 2018共識會議上，現代密碼學之父，圖靈獎得主，Cryptic Labs首席科學家Whitfield Diffie表示，最近幾年是密碼學的又一次復興，區塊鏈是密碼學方面的重新對焦。他表示喜歡“引入市場力量”的說法， 從市場力量的角度看待密碼學的發展可能是最好的。Diffie還稱贊了比特幣創始人Satoshi，他說：“多年來密碼學領域的許多人都想到如何發展金錢技術，在Satoshi之前沒有人取得成功。”[2018/5/15]

攻擊者：0xf84efa8a9f7e68855cf17eaac9c2f97a9d131366

受漏洞影響的合約：0xa68f4b2c69c7f991c3237ba9b678d75368ccff8f

1.攻擊者使用閃電貸借取了 3,000,000 USDT（價值 3,000,691.52 美元）。

2.通過函數 buyUSDP()，攻擊者將 1,000,000 USDT 與 Vault 交換，獲得了 996,769 Palm USD (USDP) 和 996,324 PALM LP (PLP)。隨后，攻擊者在質押 PLP 后獲得了 996,324 fee PALM LP (fPLP)。

3.攻擊者將剩余的 2,000,000 USDT 與 Vault 交換，得到 1,993,538 USDP，然后觸發了 removeLiquidity() 函數，該函數將前一步中得到的 fPLP 與 Vault 交換，得到 1,962,472 PLP，然后進一步交換為 1,956,585 USDT（價值 1,957,036.45 美元）。由于 PlpManager 合約中 USDP 計算錯誤，Vault 錯誤地將更多的 USDT 返還給了攻擊者。

圖片：plpmanager.sol 源代碼來源：BscScan4.在第 3 步中，1,953,430 USDP 被交換成了 1,947,570 USDT（價值 $1,948,019.41）。

5.攻擊者還清了通過閃電貸借入的最初 3,000,000 USDT，之后攻擊者的錢包中還剩下 $901,445。

在 2023 年，已經發生了 128 起閃電貸攻擊，相比之下，我們在 2022 年只記錄了 101 起。隨著攻擊者尋求從智能合約漏洞中獲取最大利潤，閃電貸攻擊在黑客中變得越來越受歡迎。

在此次事件發生時，閃電貸攻擊已經導致 2.55 億美元的損失，平均每起攻擊導致約為 200 萬美元的損失。在 7 月的前三周，我們已經記錄了 22 起閃電貸攻擊，造成共計 850 萬美元的損失。2023 年每個月的平均閃電貸攻擊次數為 18 次。目前，7 月的閃電貸事件數量正朝著創紀錄的方向發展。目前，它與 2023 年 2 月持平，該月份也有 22 起攻擊事件。

圖表：2023 年閃電貸攻擊導致的資金損失。數據來源：CertiK

圖表：2023 年各月份的閃電貸攻擊次數。數據來源：CertiK結論Palmswap 的閃電貸攻擊是 CertiK 在 7 月份檢測到的第二大惡意閃電貸攻擊，該月份總共損失了 580 萬美元。該攻擊在 2023 年的惡意閃電貸攻擊中排名第十。盡管 2023 年的閃電貸攻擊數量沒有減少，今年已經發生了 127 起，而 2022 年僅有 101 起，但當前損失的資金體量顯著降低。這其中可能有幾個原因。首先，2022 年上半年的市場條件導致被盜的資產在美元價值上更高。其次，由于閃電貸是一個相對較新的概念，用于防御這種攻擊的安全策略仍在開發中，這意味著持有大量資金的項目成為攻擊目標。2023 年的閃電貸攻擊數量證明了項目方需要強大的安全措施和第三方審計。

CertiK中文社區

企業專欄

閱讀更多

Foresight News

金色財經 Jason.

白話區塊鏈

金色早8點

LD Capital

-R3PO

MarsBit

深潮TechFlow

Tags：USD比特幣ALMPALgusd幣最新消息比特幣市場規模有多大Almira WalletSwapAll

非小號