宇宙链 宇宙链
Ctrl+D收藏宇宙链

被盗3000万美金 全面复盘BSC链上首次闪电贷攻击

作者:

时间:1900/1/1 0:00:00

在DeFi的世界里,借助于智能合约,个人创建金融产品的门槛被大幅降低。人们可以根据自己的需求,自由地设计自己的金融产品,并通过组合实现方便地交易。

目前,随着DeFi协议的组合愈发丰富,涌现出大量“货币乐高”的协议,从以太坊生态中的初代去中心化交易所Uniswap,到二代进化版的Sushiswap,再到币安智能链生态中的PancakeSwap,但组合过程中的风险也逐渐凸显出来。

5月2日,DeFi协议SpartanPotocol遭到黑客攻击,PeckShield「派盾」通过追踪和分析发现,SpartanPotocol?遭到闪电贷攻击,损失3,000万美元。

斯巴达协议(SpartanProtocol)是一个资产流动性项目,旨在解决现有AMM协议以及合成资产所出现的各类问题。斯巴达协议的流动性池是此协议的核心,所有一切系统内的相关应用都离不开流动性池的支持。SpartanSwap应用了THORCHAIN的AMM算法。此算法采用流动性敏感资费来解决流动性冷启动以及滑点问题。

11枚被盗的Otherdeed和2枚Azuki以51.4ETH价格售出:金色财经报道,据PeckShieldAlert监测,被Fake_Phishing178858盗取的11枚Otherdeed和2枚Azuki已被售出,兑换为51.4枚ETH,约合9.3万美元。黑客已将其中40枚ETH转入Binance。[2023/5/24 15:23:08]

以下是攻击过程:首先攻击者从PancakeSwap中借出闪电贷10,000WBNB;

第二步,攻击者在出现漏洞的Spartan兑换池中,分五次将WBNB兑换成SPARTAN,用1,913.172376149853767216WBNB分别兑换了621,865.037751148871481851SPARTA、555,430.671213257613862228SPARTA,499,085.759047974016386321SPARTA,450,888.746328171070956525SPARTA,和409,342.991760515634291439SPARTA。此时攻击者手撰2,536,613.206101067206978364SPARTA以及11,853.332738790033677468WBNB,攻击者将这些Tokens注入流动池中提供流动性,铸造出933,350.959891510782264802代币(SPT1-WBNB);

Sentinel Network报告由于HitBTC漏洞,4000万个DVPN代币被盗:Cosmos生态dVPN项目Sentinel周五在推特表示,4000万个DVPN代币在HitBTC比特币交易所被盗,被盗是由于HitBTC暴露了其助记词组。“这完全超出了我们的控制,HitBTC 推迟了向用户分配资金并破坏了他们自己的助记符。”Sentinel在其推文中写道。Sentinel的Srinivas Baride称这次是“严重疏忽”,并表示他希望HitBTC退还他们的用户并重新评估他们对用户资金的管理。Sentinel Network允许任何人在其市场上出售他们的带宽。开发人员可以使用使用Cosmos SDK构建的Sentinel协议来构建公共和私有应用程序,这些应用程序使用Sentinel Network的带宽市场进行dVPN应用程序。(CoinDesk)[2021/8/21 22:28:00]

第三步,攻击者运用同样的手法,在出现漏洞的兑换池中分十次将WBNB兑换成SPARTAN,用1,674.025829131122046314WBNB分别兑换了336,553.226646584413691711SPARTA,316,580.407937459884368081SPARTA,298,333.47575083824346321SPARTA,281,619.23694472865873995SPARTA,266,270.782888292437349121SPARTA,252,143.313661963544185874SPARTA,239,110.715943602161587616SPARTA,227,062.743086833745362627SPARTA,215,902.679301559370989883SPARTA,和205,545.395265586231012643SPARTA,总计2,639,121.977427448690750716SPARTA。

声音 | BCH支持者:无法通过双花找回加密巨鲸被盗的BCH资产:今日,加密巨鲸(zhoujianfu)被爆丢失价值2.6亿元的BTC和BCH,对于BTC/BCH矿工能否帮巨鲸回滚交易寻回损失的问题,BCH支持者“铁路追踪者”向表示,丢失的BTC,理论上有可能通过双花找回,但BTC市值庞大、牵扯利益方众多,所以也只存在理论上的可能性。而要通过BCH双花是连理论可能都没有。2018年末BCH和BSV分道扬镳后,BCH为了防止攻击,加了一项超过10个确认就无法回滚的设置。因此,BCH算力虽小,但对抵御双花的抵御能力很强。打个比方,如果一百年以后比特币上只剩下残存的100P算力了,突然来了4000P算力,你猜猜能回滚到哪儿?理论上可以回到高度618466,也就是现在。[2020/2/22]

第四步,攻击者将21,632.147355962694186481WBNB和所有的SPARTA,即上面三步中所获的?2,639,121.977427448690750716SPARTA转入流动池中,来抬高资产价格。

交易所被盗引关注 关键词热度骤增:据统计,过去七天内,被盗的交易所Coinrail搜索量上涨1500%,比特币关键词的搜索量也在6月10日和11日凌晨迎来两次搜索高峰。国内方面,比特币价格下降收获不少关注度,“比特币下跌”关键字跃居新浪微博热搜24位,搜索量达80119。[2018/6/11]

第五步,烧毁从第二步所获得的933,350.959891510782264802代币(SPT1-WBNB),提回流动性,由于流动池处于通胀状态,共计烧毁2,538,199.153113548855179986SPARTA和20,694.059368262615067224WBNB,值得注意的是,在第二步中,攻击者仅兑换了11,853.332738790033677468WBNB,此时攻击者获利9,000WBNB;

第六步,攻击者在第四步中注入1,414,010.159908048805295494pooltoken为流动池提供流动性,随即启动烧毁机制获取2,643,882.074112804607308497SPARTA和21,555.69728926154636986WBNB。

攻击者调用了流动性份额函数calcLiquidityShare()查询当前余额,进而操纵余额套利,正确的操作需使用baseAmountPooled/tokenAmountPooled状态。

DeFi系统的运行需要由智能合约进行保证,这就要求智能合约的代码进行过缜密的审核。一旦智能合约中存在着任何漏洞,它就可能成为黑客攻击的对象。

在传统的条件下,黑客们攻击金融系统时所凭借的主要是他们在计算机技术上的优势,而在现有的DeFi生态下,由于各链、各应用之间的互通性还并不是那么好,因此跨链、跨应用之间的套利机率可能较大。这时,即使一个计算机本领不那么强的人,只要他有足够的金融知识和足够的市场嗅觉,就也可以成为黑客,对DeFi系统进行攻击。

黑客通过区块链上的闪电贷,以很小的成本借出大笔资金,然后用这笔资金去造成一些数字资产的价格波动,再从中渔利,最初兴起于以太坊,随着币安智能链等CeFiDeFi生态上的资产愈发丰富,黑客也在随时伺机待发。

PeckShield「派盾」相关负责人表示:“攻击手法仍换汤不换药,只是从一条链转到了另一条链,DeFi协议开发者应在攻击发生后,自查代码。如果对此不了解,应找专业的审计机构进行审计和研究,防患于未然。”

标签:PARTARTSPARTASPAetherparty币前景Totem New Earth SystemsSPARTA币SPACESHIB

欧易交易所app下载热门资讯
Bityard官网打不开解决办法

Bityard虚拟货币交易所于2019年11月创立,总部位于新加坡,经新加坡企业管理局(ACRA)认证,是全球领先的数字货币合约交易平台,持有美国金融监管局(MSB),澳大利亚交易报告和分析中心(AUSTRAC).

1900/1/1 0:00:00
甬链科技加速实现Chia全球头矿部署

据有关消息称,ChiaNetwork预计将在美国时间5月3日上午10点(北京时间5月4日)启用转账交易.

1900/1/1 0:00:00
月线收阴已成定局 将产生怎样波动?BTC、ETH、波卡等分析

市场消息面: 最近值得大家关注的几个方面:挖矿热潮高涨,显卡、硬盘价格居高不下;美SEC再次递交信函望就Ripple案与外国监管机构联系;波卡平行链拍卖临近.

1900/1/1 0:00:00
如何购买狗狗币(DOGE)

狗狗币和莱特币。狗狗币起源于一句玩笑话,如今却已发展成为全球交易最广泛的加密货币之一,截至2021年2月,其市值达到100亿美元.

1900/1/1 0:00:00
比特币今天上涨,多头可以布局吗?

比特币周图 去年5、6、7、8、9、10这6个月中,周图的15EMA起到了标准支撑的作用;并且凭借着15EMA均线的支撑向上走了一波轰轰烈烈的大牛市!今年4月份的周图蜡烛图又一次标准测试了15EMA的支撑作用.

1900/1/1 0:00:00
金色前哨 | 美用户可直接用PayPal在Coinbase买币了

Coinbase官方博客消息,2021年4月30日起,美国用户只需拥有PayPal帐户,无需将银行帐户或卡号添加到Coinbase,即可立即在Coinbase上进行交易了.

1900/1/1 0:00:00