Balancer再遭攻击 DeFi还有未来吗？

继6月29日凌晨2点CertiK捕获Balancer攻击事件后《空手套以太：Balancer攻击解析》， 北京时间6月29日下午8点整与11点23分，CertiK天网系统（Skynet) 再次检查到两起类似原理的Balancer DeFi合约异常，两起异常分别发生在区块数10360609与区块数10361515。与29日单纯利用合约漏洞的攻击不同，这次黑客巧妙利用了Compund金融模型，无中生有了大量COMP代币。明星DeFi项目，一日内连遭三次攻击，让支持者不禁担忧起整个DeFi市场的未来。

天网扫描

事件概述

6月29日，攻击者从dYdX闪电贷中借到代币并铸币后，通过uniswap闪贷获得cWBTC和cBAT代币，然后将借得的代币在Balancer代币池中大量交易，从而触发Compound协议的空投机制，获得空投的COMP代币，再使用Balancer有漏洞的gulp()函数更新代币池数量后，取走所有代币并归还闪电贷。攻击者相当于利用了Compound协议的金融模型、闪电贷和Balancer代码漏洞，无中生有了COMP，总获利约为11.5ETH。

Eric Balchunas：Coinbase考虑在平台上支持ETFs:金色财经报道，据彭博社ETF专家Eric Balchunas称，Coinbase考虑在平台上支持ETFs。一方面，我明白了，但另一方面，谁会在正常情况下支付1.49%来交易比特币ETF？

这就是为什么我说ETF将震撼加密货币世界。加密货币的中介机构习惯于收取高昂的费用。ETFs则生活在相对贫困的环境中。$BITO（更不用说即将到来的现货ETF）在任何地方都是1bp的交易。Coinbase应该对此感到害怕。[2021/11/10 6:43:06]

CertiK攻击者心理画像

6月29日下午8点与11点的两起攻击使用了相同的手法并且使用了同一个收款地址，确认为一个团队。虽然这两次攻击与29日凌晨2点的攻击均利用了Balancer合约的gulp()，但是攻击手段不同，后两次攻击利用了Compound的金融模型的漏洞而不是单纯的代码漏洞。另外，后两次攻击的获利远小于首次攻击获利，实施首次攻击的黑客没有再次攻击的动机。

Huobi Global宣布推出NFT市场Huobi NFT试用版:Huobi Global宣布推出NFT市场“Huobi NFT”试用版，允许用户在游戏、艺术、动画和音乐等众多领域购买和交易NFT艺术品和收藏品。Huobi Global表示为了NFT市场的推出已经准备了一段时间，此举是其元宇宙战略扩张的“关键里程碑”。Huobi Global称，该NFT市场将包含游戏、艺术、动画和音乐等，将与艺术家、歌手等进行合作，并将根据全球各个市场的趋势和偏好定制用户体验和策划产品。此外，该NFT市场还将获得Huobi整体的生态支持。（Cointelegraph）[2021/11/1 6:25:34]

CertiK判断后两次攻击是在首次攻击14小时后，利用类似原理实施的模仿攻击。

DeFi安全新挑战

这次的攻击事件主要利用了金融模型设计上的漏洞，而不是代码层面的漏洞。这种由DeFi市场孕育出的新型攻击模式，让大部分区块链安全公司仅有的“代码审计”服务变得毫无用处。

Panda Global 挖矿宝首发上线:最新消息，Panda Global 挖矿宝于10月14日17:00正式上线，参与用户可在平台通过抢购认筹赚取挖矿收益。挖矿宝第一期项目为USDT，期限为7天，总额度为100万USDT。

挖矿宝是由Panda Global 基于数字货币挖矿服务推出的新型理财产品，针对相同算法的不同币种，通过智能调度到最优收益币种进行流动性挖矿。[2020/10/14]

只针对代码层面而不能对抽象模型进行分析的、传统的安全技术完全应对不了DeFi带来的新挑战。而没有模型层面保护的DeFi，只能沦为熟知DeFi金融模型的黑客的提款机。

DeFi安全预警是弊大于利吗？

这次的模仿攻击，让很多人对区块链安全公司产生了质疑：安全公司的分析文章会不会教会更多人攻击的方法？为什么各种安全预警没有改善安全环境？我们真的还需要安全预警吗？

CertiK的观点是，不仅需要安全预警，还要做到更快更深入！

不同于传统软件系统，区块链所有的交易、所有的合约调用都是公开透明的。攻击事件发生后，区块链上的交易记录对于黑客而言就是最直白的教科书，区块链安全公司要抢在模仿攻击之前发布预警，保护相关公司。但是最近频繁的攻击事件，再一次证明安全预警是远远不够的，并不能改变当前DeFi乃至整个区块链的安全现状。

BKEX Global流动性期货FIL6（Filecoin6Month）申购结束:据BKEX官方消息，BKEX Global在Seed Incubator Pro开放的流动性期货FIL6申购已于今日14:00结束，FIL6已发放至有效参与认购用户账户。

此次申购数量为50,000 FIL6，有效申购量为3,715,865 FIL6，认购系数为1.34%，超募75倍。

为满足用户对Filecoin 通证的交易需求，BKEX 将联合业内知名 Filecoin 服务商云算力科技（FILPool 矿池、filpool.io）推出 Filecoin6 个月流动性期货代币，全称 Filecoin6Month，简称 FIL6，供用户开启交易,锁定收益。FIL6代币将具备充值、提现功能，实现真正的流动性。此次还有AEX参与战略合作，一并于2020.7.2 20:30（UTC+8）上线FIL6/USDT交易对。[2020/7/2]

DeFi安全还有机会吗？

为了根本性改变DeFi的安全现状，我们必须针对新型智能合约（比如DeFi、IoT) 引入全新的安全机制。

这种安全机制必须要能进行模型层的分析，必须能够适应新型合约的发展，尽量做到在攻击时拦截，而非在攻击后预警。CertiK团队正在研发基于CertiK Chain的新型安全DeFi机制 —— CeDeFi (Certified DeFi）—— 即可信DeFi，相信可以在未来彻底改变当前被动的安全现状。

BKEX Global 即将上线LTC和TRX三倍做多和做空代币:据 BKEX Global 公告，BKEX Global LT（杠杆代币）专区将于4月10日20:30（UTC+8）上线LTC和TRX三倍做多和做空代币，开放交易对：LTCBULL/USDT,LTCBEAR/USDT,TRXBULL/USDT,TRXBEAR/USDT。

杠杆代币本质是拥有杠杆功能的ERC20代币，和传统杠杆交易不同的是，用户在交易杠杆代币的时候不需要支付任何保证金，仅通过简单的买币卖币，即可达到交易杠杆的目的。[2020/4/9]

攻击还原

以下午11点对Balancer的攻击为例：

步骤1：从dYdX处通过闪电贷形式借得WETH、DAI和USDC三种代币，数额分别是103067.20640667767、5410318.972365872和5737595.813492。

步骤2：使用步骤1中得到的代币，对三种代币 (cETH、cDAI和cUSDC) 进行铸币操作 (mint)。

步骤3：使用uniswap通过闪电贷形式，借得 (borrow) 并铸造 (mint) cWBTC，cBAT代币。

步骤4：携带获得的cWBTC与cBAT加入代币池，此时攻击者拥有的cWBTC和cBAT的数目分别为4955.85562685和55144155.96523628。

步骤5：分别用cWBTC和cBAT在该代币池中进行大量的交易，从而触发Airdrop操作，将无归属的COMP分发到该代币池中。

步骤6：调用gulp()函数将当前的COMP数目同步到Balancer智能合约中，并将cWBTC、cBAT以及额外被加入代币池中的COMP取出。退出代币池时，攻击者拥有的cWBTC和cBAT的数目同样为4955.85562685和55144155.96523628。但是由于在代币池中通过大量交易产生的额外COMP，攻击者获得了额外的COMP代币。 此处攻击者还可以选择直接进入其他代币池中，复用步骤1到步骤6的攻击方法，获得额外COMP代币。

步骤7：偿还uniswap和dYdX的闪电贷，离场。

步骤8：攻击者仍旧可以采用同样的方法（步骤1到步骤7），对其他代币池发动攻击。攻击的机制类似，但是通过闪电贷借得和用来进行攻击的代币种类略有不同。

参考链接：

新闻：

https://cointelegraph.com/news/hacker-steals-balancers-comp-allowance-in-second-attack-within-24-hours

中文新闻：

https://www.chaindd.com/3330102.html

原始分析：

https://twitter.com/frenzy_hao/status/1277597671847411712

29日下午8点攻击交易历史记录：

https://ethtx.info/mainnet/0xa519835c366bc77d93c9d3e433e653bfc46120688ad146b383f4dd93342cad29

29日下午11点攻击交易历史记录：

https://ethtx.info/mainnet/0x70959fef9d7cc4643a0e885f66ec21732e9243ffd3773e4a9ea9b5ab669bab4d

了解更多

General Information: info@certik.org

Audit & Partnerships: bd@certik.org

Website: certik.org

Twitter: @certik.org

Telegram: t.me/certik.org

Medium:medium.com/certik

币乎：bihu.com/people/1093109

标签：BALCERCOMDEFmexcglobal交易所Influencer DogeCompound币圈Bearn Defi Protocol

Luna热门资讯