宇宙链 宇宙链
Ctrl+D收藏宇宙链

被盗3000万美金 全面复盘BSC链上首次闪电贷攻击

作者:

时间:1900/1/1 0:00:00

在 DeFi 的世界里,借助于智能合约,个人创建金融产品的门槛被大幅降低。人们可以根据自己的需求,自由地设计自己的金融产品,并通过组合实现方便地交易。

目前,随着 DeFi 协议的组合愈发丰富,涌现出大量“货币乐高”的协议,从以太坊生态中的初代去中心化交易所 Uniswap,到二代进化版的 Sushiswap,再到币安智能链生态中的 PancakeSwap,但组合过程中的风险也逐渐凸显出来。

5 月 2 日,DeFi 协议 Spartan Potocol 遭到黑客攻击,PeckShield 「派盾」通过追踪和分析发现,Spartan Potocol?遭到闪电贷攻击,损失 3,000 万美元。

Euler Finance被盗资金已全部归还:金色财经报道,DeFi借贷协议Euler Finance发推特,已经协商谈判成功,3月13日从协议中盗取的所有可收回资金现已被攻击者成功归还,因为攻击者做了正确的事情并归还了资金,基金会发起的100万美元悬赏活动将不再接受新信息,详细信息将于明天发布。[2023/4/4 13:43:27]

斯巴达协议 (Spartan Protocol)是一个资产流动性项目,旨在解决现有 AMM 协议以及合成资产所出现的各类问题。斯巴达协议的流动性池是此协议的核心,所有一切系统内的相关应用都离不开流动性池的支持。SpartanSwap 应用了 THORCHAIN 的 AMM 算法。此算法采用流动性敏感资费(Liquidity-sensitive fee)来解决流动性冷启动以及滑点问题。

白俄罗斯黑客计划出售卢卡申科被盗护照NFT:9月1日消息,白俄罗斯黑客声称已经获得了包括总统亚历山大·卢卡申科在内的每个白俄罗斯公民的护照信息,并将用白俄罗斯领导人的护照制作NFT。白俄罗斯黑客表示,此举是基层筹款活动的一部分,目的是打击“明斯克和莫斯科的血腥政权”。

一些观察家表示,数字护照上的信息是假的,原因是世界“Republic”的首页上的拼写错误和“Aleksandr”的拼写错误。而白俄罗斯黑客则在Twitter上表示,他们试图在8月30日卢卡申科生日那天通过OpenSea市场出售NFT收藏品,但表示该交易已被立即关闭,目前正在寻找其他选择。(Cointelegraph)[2022/9/1 13:02:17]

以下是攻击过程:首先攻击者从 PancakeSwap 中借出闪电贷 10,000 WBNB;

Ronin黑客已将6.25亿美元被盗资产从以太坊转移至比特币网络:8月22日消息,根据链上开发人员兼调查员Blite Zero研究发现,Ronin黑客已经将被盗资产从以太坊转移至比特币网络。今年3月,Ronin跨链桥遭攻击后,黑客将价值6.25亿美元的USDC和ETH转移到Tornado Cash,此后,BliteZero跟踪到黑客将资金从Tornado Cash转移至多个跨链桥和加密货币交易平台,通过renBTC形式将其转移到比特币网络,并存入到ChipMixer、Blender等混币器。[2022/8/22 12:39:57]

第二步,攻击者在出现漏洞的 Spartan 兑换池中,分五次将 WBNB 兑换成 SPARTAN,用 1,913.172376149853767216 WBNB 分别兑换了 621,865.037751148871481851 SPARTA、555,430.671213257613862228 SPARTA, 499,085.759047974016386321 SPARTA, 450,888.746328171070956525 SPARTA, 和 409,342.991760515634291439 SPARTA。此时攻击者手撰 2,536,613.206101067206978364 SPARTA 以及 11,853.332738790033677468 WBNB, 攻击者将这些 Tokens 注入流动池中提供流动性,铸造出 933,350.959891510782264802 代币 (SPT1-WBNB);

Github用户被盗的1400枚比特币已被拆分转账至5个不同的钱包地址:据欧科云链OKLink系统监测,此前GitHub用户“1400BitcoinStolen”声称被盗的1400枚比特币自今日凌晨2时开始,已逐步被拆分到数个不同地址中。

截至今日14时,该笔资金目前已发生4次交易,被拆分到了5个不同的地址中,最少的钱包余额为85 BTC,最高的为bc1qf8a68开头的地址,余额为500 BTC。[2020/8/31]

第三步,攻击者运用同样的手法,在出现漏洞的兑换池中分十次将 WBNB 兑换成 SPARTAN,用1,674.025829131122046314 WBNB 分别兑换了 336,553.226646584413691711 SPARTA, 316,580.407937459884368081 SPARTA, 298,333.47575083824346321 SPARTA, 281,619.23694472865873995 SPARTA, 266,270.782888292437349121 SPARTA, 252,143.313661963544185874 SPARTA, 239,110.715943602161587616 SPARTA, 227,062.743086833745362627 SPARTA, 215,902.679301559370989883 SPARTA, 和205,545.395265586231012643 SPARTA ,总计 2,639,121.977427448690750716 SPARTA。

动态 | 报告:Upbit被盗以太坊已有20,520枚被黑客完成:1月17日消息,Uppala Security发布的最新报告显示,加密货币交易所Upbit被盗的以太坊中,总计20,520枚已经被黑客小额转移到交易所进行了。黑客的交易平台包括火币、Bittrex、Bitfinex等交易所。报告还称,黑客们仍在试图洗清被偷走的34.2万枚ETH的剩余部分,且没有任何限制。(Crypto Globe )[2020/1/17]

第四步,攻击者将 21,632.147355962694186481 WBNB 和所有的 SPARTA,即上面三步中所获的? 2,639,121.977427448690750716 SPARTA 转入流动池中,来抬高资产价格。

第五步,烧毁从第二步所获得的 933,350.959891510782264802 代币 (SPT1-WBNB),提回流动性,由于流动池处于通胀状态,共计烧毁 2,538,199.153113548855179986 SPARTA 和 20,694.059368262615067224 WBNB,值得注意的是,在第二步中,攻击者仅兑换了 11,853.332738790033677468 WBNB,此时攻击者获利 9,000 WBNB;

第六步,攻击者在第四步中注入 1,414,010.159908048805295494 pool token 为流动池提供流动性,随即启动烧毁机制获取2,643,882.074112804607308497 SPARTA 和21,555.69728926154636986 WBNB。

攻击者调用了流动性份额函数 calcLiquidityShare() 查询当前余额,进而操纵余额套利,正确的操作需使用 baseAmountPooled/tokenAmountPooled 状态。

DeFi 系统的运行需要由智能合约进行保证,这就要求智能合约的代码进行过缜密的审核。一旦智能合约中存在着任何漏洞,它就可能成为黑客攻击的对象。

在传统的条件下,黑客们攻击金融系统时所凭借的主要是他们在计算机技术上的优势,而在现有的 DeFi 生态下,由于各链、各应用之间的互通性还并不是那么好,因此跨链、跨应用之间的套利机率可能较大。这时,即使一个计算机本领不那么强的人,只要他有足够的金融知识和足够的市场嗅觉,就也可以成为黑客,对 DeFi 系统进行攻击。

黑客通过区块链上的闪电贷,以很小的成本借出大笔资金,然后用这笔资金去造成一些数字资产的价格波动,再从中渔利,最初兴起于以太坊,随着币安智能链等 CeFi + DeFi 生态上的资产愈发丰富,黑客也在随时伺机待发。

PeckShield 「派盾」相关负责人表示:“攻击手法仍换汤不换药,只是从一条链转到了另一条链,DeFi 协议开发者应在攻击发生后,自查代码。如果对此不了解,应找专业的审计机构进行审计和研究,防患于未然。”

标签:SPARTAPARTARTSPAsparta币前景ParticlSMART价格BSPAY币

比特币交易所热门资讯
金色早报 | 高盛:比特币能源问题削弱了其数字黄金地位

头条 ▌高盛:比特币能源问题削弱了其数字黄金地位金色财经报道,在一份研究报告中,高盛(Goldman Sachs)分析师称,比特币的低效率以及来自“设计更佳”的其他加密货币的竞争,削弱了它所谓的数字黄金的地位.

1900/1/1 0:00:00
数字银行的转型是一段旅程 而不是终点

研究表明,数字银行的成熟度与财务绩效的提高之间有着直接的联系。但是,这种关联要求银行和信用合作社不仅仅是部署新技术。数字化转型必须包括以数字化为重点的数据和分析,企业战略,组织结构,人才管理,文化和领导能力.

1900/1/1 0:00:00
Xcademy:加密经济与视频博主的养成

视频博主是当前受欢迎的自由职业视频在如今社交媒体的普及度方面无须多言,已经是最受欢迎的消费媒体之一,同时也催生了社交视频创作这样的内容创作产业。有不少人想成为视频博主,成为下一个李子染,成为各种社交媒体的大V.

1900/1/1 0:00:00
二季度剩下两个月怎么走?

狂人本着负责,专注,诚恳的态度用心写每一篇分析文章,特点鲜明,不做作,不浮夸!本内容中的信息及数据来源于公开可获得资料,力求准确可靠,但对信息的准确性及完整性不做任何保证,本内容不构成投资建议,据此投资,责任自负.

1900/1/1 0:00:00
一文读懂NFT深层次本质、运行原理与发展趋势

3月,80后网络艺术家 Beeple的作品“每一天:头五千天”,被著名艺术品拍卖行佳士得做成 NFT,拍出了六千九百三十万美元的天价.

1900/1/1 0:00:00
海外资深玩家的投资建议

今天看到一篇海外资深投资者的文章,在文章中,这位投资者给初入数字货币投资的小白用户写了几点建议,我认为非常有价值,所以在接下来的文章中我和大家翻译分享他的一些观点。注意:下面文章大部分内容是我根据作者原文的翻译.

1900/1/1 0:00:00