据慢雾区消息,2021年2月13日,以太坊DeFiAlphaFinance遭受攻击,慢雾安全团队第一时间跟进分析,并以简讯的形式分享给大家,供大家研究。
1.攻击者用一部分的WETH在UniswapWETH-UNI池子上添加流动性,再把一部分的WETH兑换成sUSD并在Cream中添加流动性获得cySUSD凭证。
2.攻击者通过AlphaHomoraV2从IronBank借出sUSD,并将LP抵押到WERC20中为后面开杠杆做准备。
3.攻击者再通过AlphaHomoraV2将上一步借出的sUSD归还给IronBank。
4.上面几步似乎只是试探。
5.随后攻击者开始利用AlphaHomoraV2的杠杆借贷从IronBank中循环借出sUSD,每次借出数量都是上一次的一倍,最后将借出的sUSD再转到Cream中添加流动性获得cySUSD凭证。
美国破产法官确定Celsius破产处理相关时间表:提出动议进行实质性合并的截止日期为5月1日:4月25日消息,美国破产法官Martin Glenn发布一份关于Celsius Network的法律文件,并确定了一份时间表,包括估计Celsius Network LLC和Celsius Network Limited之间的某些公司间合同索赔,Celsius Network LLC和Celsius Network Limited的实质性合并等。其中,债务人或委员会提出动议进行实质性合并的截止日期为2023年5月1日;各方提供书面发现的截止日期为5月4日;回应书面发现的截止日期为5月8日;完成事实证词的截止日期为6月15日。
如果法院就上述时间表中规定的事项举行听证会,则应在与确认债务人第11章计划有关的听证会上或之前进行此类听证会。[2023/4/25 14:26:17]
6.之后攻击者不满足于这种低效的杠杆循环借贷叠cySUSD的方式,开始使用闪电贷加快速度。
Uniswap询问用户钱包需求,被猜测将开发钱包:金色财经报道,去中心化交易所Uniswap在推特上称:“如果正在构建一个钱包,你会包含哪些必备功能?”对此网友猜测Uniswap或要开发钱包。[2023/2/22 12:21:19]
7.攻击者开始从AAVE中闪电贷借出180万USDC,并通过Curve将USDC兑换成sUSD,这时候攻击者就拿到了大量的sUSD了。
8.随后攻击者先用sUSD到Cream中添加流动性,并获得cySUSD凭证,再开始继续使用AlphaHomoraV2的杠杆借贷从IronBank中循环翻倍的借出sUSD,最后利用借出的sUSD去归还闪电贷。(偿还的闪电贷中有包含先前几步的一部分sUSD作为利息,因为最后一步借出的不足以还贷,但都是拿从Alpha借的去还的)
虚拟宠物公司Anima完成300万美元融资:12月15日消息,虚拟宠物公司Anima完成300万美元融资,Polygon Studios、Not Boring Capital、HashKey等参投。Anima推出的Onlybots是第一个链上AR项目,旨在推广“可拥有的”AR资产,允许消费者相互买卖数字宠物。Anima还计划后期引入与数字宠物互动和玩耍的新方式。(The Block)[2022/12/15 21:47:30]
9.重复上一步,闪电贷借出1000万USDC,换成sUSD,先添加在Cream中,添加9,668,335的流动性拿到cySUSD,再继续杠杆借贷,最后翻倍到10,088,930应该基本把池子借空了。然后开始重复添加流动性,获取cySUSD。最后再去归还闪电贷。
Rocket Pool上质押数占ETH2.0质押总数的0.952%:金色财经消息,据Dune Analytics数据,目前Rocket Pool上质押194,868枚以太坊,占ETH2.0质押总数的0.952%。此前消息,以太坊质押协议Rocket Pool宣布完成自推出主网以来的第一次重大升级——Redstone升级。升级内容包括:优先费用分配器、新的奖励系统、可选的Smoothing Pool、rETH转账延迟等。[2022/8/29 12:55:14]
10.再闪电贷借出1000万,再重复添加流动性与借贷,获取cySUSD并归还闪电贷。
11.由于经过以上步骤攻击者已获得大量cySUSD,因此攻击者开始直接在Cream借出WETH、USDC、USDT、DAI、sUSD。
总结:攻击者使用闪电贷到AlphaFinance中进行杠杆借贷,并使用AlphaFinance本身的CreamIronBank额度来归还闪电贷,在这个过程中攻击者通过在Cream添加流动性获得了大量的cySUSD,使攻击者得以用这些cySUSD在CreamFinance中进行进一步的借贷。由于AlphaFinance的问题,导致了两个协议同时遭受了损失。
往期回顾
BitMart入驻慢雾区,发布「安全漏洞与威胁情报赏金计划」
引介|一种安全的LP价格的获取方法
千万美元损失背后的闪电贷攻击——yearnfinance被黑简析
如何通过恒定乘积黑掉SushiSwap?简析SushiSwap第二次被攻击始末
慢雾科技三周年啦!
慢雾导航
慢雾科技官网
https://www.slowmist.com/
慢雾区官网
https://slowmist.io/
慢雾GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
币乎
https://bihu.com/people/586104
知识星球
https://t.zsxq.com/Q3zNvvF
火星号
http://t.cn/AiRkv4Gz
链闻号
https://www.chainnews.com/u/958260692213.htm
免责声明:作为区块链信息平台,本站所发布文章仅代表作者个人观点,与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考,并非作为或被视为实际投资建议。
本文来源于非小号媒体平台:
慢雾科技
现已在非小号资讯平台发布68篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/9682875.html
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
盘点零知识证明代表性项目:如何影响和塑造区块链生态系统?
1、bsv这个币我现在被套了20万,亏损10万,我想请教我该怎么办?是继续持有还是转为其它的币。---虽然BSV在接下来的行情中仍然有可能继续上涨,但我不会管它接下来会不会涨,会从更长远的角度看它有没有前景.
1900/1/1 0:00:00“道说区块链”联合“区块少数派”共同编撰的《DeFi投资实战方法论》电子版书籍已经上线发布。这本书是道说区块链发布的第一本关于区块链投资实战的书籍.
1900/1/1 0:00:00一、观点 今天大年三十,在此祝愿所有币友牛年大吉,一同通过踏浪策略拿下即将结束的牛市做多红利,当牛市被判定为大概率结束时,踏浪策略将以做多转为做空为主,届时文中将有相关分析和说明.
1900/1/1 0:00:00Gate.io杠杠ETF是一种自带杠杆属性和具有自动调仓机制的交易产品。ETF产品每日跟进盈利亏损调整杠杆率回到目标杠杆杆倍数,盈利会开仓,亏损会减仓,用户在交易杠杆产品的时候不需要支付保证金,仅通过简单的买币卖币,即可达到交易杠杆的.
1900/1/1 0:00:00尊敬的用户: Hotbit即将在开启RENDOGE(renDOGE)数字资产服务,并开放RENDOGE理财产品。预计年化收益:10%;计息:T1.
1900/1/1 0:00:00DeFi流动性挖矿火爆一时,吸引了大量投资者参与。为了方便投资者及时了解DeFi挖矿项目的相关信息和挖矿流程,金色财经推出了“金色说明书”系列挖矿教程.
1900/1/1 0:00:00