DeFi協議AutoShark Finance遭遇閃電貸攻擊
10月2日消息,據PeckShield“派盾”官方推特消息,DeFI 協議AutoShark Finance遭
遇閃電貸攻擊,其交換挖掘功能在-一系列交,易中被利用,由于礦池的流動性相對較低,黑客可以使用閃電貸占據礦池的大部分份額(以彌補交換損失/費用),同時仍然享受可觀的“交換費用獎勵”(從每次巨額交換中增加)。黑客重復上述步驟七次,獲利318萬FINS,之后立即將FINS交換為1,388 BNB (約合581,000美元),
我的天哪,9月份就接連爆出來各種黑客攻擊,這才10月份第二天啊,就開始黑客攻擊了,看來黑客也不放假啊!
慢霧五月回顧:AutoShark Finance 被黑分析
其實,此前報道,今年5月,PeckShield’ 派盾”預警顯示,BSC鏈_上DeFi協議AutoShark
Finance遭到閃電貸攻致使其幣價閃崩,跌至0.01美元,跌幅達到99%以上。
我們借用慢霧技術團隊的分析,大概是這樣式兒的:
黑客的準備工作:攻擊者從 Pancake 的 WBNB/BUSD 交易對中借出大量 WBNB;
下一步,將第 1 步借出的全部 WBNB 中的一半通過 Panther 的 SHARK/WBNB 交易對兌換出大量的 SHARK,同時池中 WBNB 的數量增多;
下一步,將第 1 步和第 2 步的 WBNB 和 SHARK 打入到 SharkMinter 中,為后續攻擊做準備;
下一步,調用 AutoShark 項目中的 WBNB/SHARK 策略池中的 getReward 函數,該函數會根據用戶獲利的資金從中抽出一部分手續費,作為貢獻值給用戶獎勵 SHARK 代幣,這部分操作在 SharkMinter 合約中進行操作;
下一步,SharkMinter 合約在收到用戶收益的 LP 手續費之后,會將 LP 重新拆成對應的 WBNB 和 SHARK,重新加入到 Panther 的 WBNB/SHARK 交易池中;
下一步,由于第 3 步攻擊者已經事先將對應的代幣打入到 SharkMinter 合約中,SharkMinter 合約在移除流動性后再添加流動性的時候,使用的是 SharkMinter 合約本身的 WBNB 和 SHARK 余額進行添加,這部分余額包含攻擊者在第 3 步打入 SharkMinter 的余額,導致最后合約獲取的添加流動性的余額是錯誤的,也就是說 SharkMinter 合約誤以為攻擊者打入了巨量的手續費到合約中;
下一步,SharkMinter 合約在獲取到手續費的數量后,會通過 tvlInWBNB 函數計算這部分手續費的價值,然后根據手續費的價值鑄幣 SHARK 代幣給用戶,但是在計算 LP 價值的時候,使用的是 Panther WBNB/SHARK 池的 WBNB 實時數量除以 LP 總量來計算 LP 能兌換多少 WBNB,但是由于在第 2 步中,Panther 池中 WBNB 的數量已經非常多,導致計算出來的 LP 的價值非常高;
下一步,在 LP 價值錯誤和手續費獲取數量錯誤的情況下,SharkMinter 合約最后在計算攻擊者的貢獻的時候計算出了一個非常大的值,導致 SharkMinter 合約給攻擊者鑄出了大量的 SHARK 代幣;
最后一步,攻擊者后續通過賣出 SHARK 代幣來換出 WBNB,償還閃電貸。然后獲利離開,
整個步驟看完,我有點腦殼疼,
總之,黑客借幣、調用函數、返回LP、獲取數值、獲得獎勵,然后走人,
其實9月份的黑客攻擊事件比8月份少一些,但數量仍不少。
九月發生20多起黑客攻擊事件
其中在DeFIi領域就偶遇8起典型安全事件。
第一個,DeRace因DAO Maker分發系統被攻擊,導致部分代幣被黑客盜取并拋售,
第二個,NFT市場OpenSea的一個漏洞導致至少42個NFT被發送至一個銷毀地址,價值至少10萬美元。
第三個,Avalanche鏈上Zabu Finance官方表示,攻擊者提取45億ZABU代幣,傾銷獲利約60萬美元。
第四個,以太坊擴容網路Arbitrum因漏洞導致停機,已定位問題并修復。
第五個,SushiSwap平臺MISO上的DONA代幣拍賣遭到攻擊,損失超300萬美元。
第六個,跨鏈協議pNetwork因代碼漏洞遭攻擊,損失約 1308 萬美元。
第七個,借貸協議Vee.Finance官方確認:超3500萬美元資產被盜,穩定幣未受影響,
第八個,比特幣基金會網站bitcoin.org遭到黑客攻擊,首頁出現了“雙倍返還比特幣”騙局,攻擊者竊取了1.7萬多美元。
真是不數不知道,一數嚇一跳,不過十分慶幸的是本人一個幣都沒得,善哉善哉!
當DeFi淪為黑客的“提款機”,如何保證資產安全性?
這是所有區塊鏈從業者都十分關心的問題,無論是項目方還是加密玩家,其實只關心兩件事,如何賺錢和如何安全,如果合成一句話就是如何安全地賺錢!
我們說DeFi的興起,在于它的一些優勢。去中心化金融能夠從根本上改變金融體系,區塊鏈技術和 DeFi 使系統更加值得信賴、更具成本效益和透明性,沒有銀行賬戶的人可以進入經濟體系,為投資者開辟新的機會,
但是安全問題,是DeFi 目前遇到的最嚴峻的挑戰,可能你會問,黑客為什么熱衷于攻擊 DeFi 項目?我也想知道啊!
截止到10月份,去中心化金融(DeFi)系統中的黑客攻擊占 2021 年全球所有主要黑客攻擊的近 76%,
許多 DeFi 項目可能會因為開發人員的代碼漏洞而被黑客攻擊,此外,其他網路犯罪分子可以通過快速貸款并操縱代幣價格來破解 DeFi 協議。
你看,要么是自身專業度不夠出現了漏洞,被鉆了空子,要么是機制有問題又被鉆了空子。
Chainge錢包:守住加密用戶的錢袋子
Chainge采用了DCRM(分布式控制權管理)、TL(時間鎖定)、QS(量子交換)、USAN(universal short account number 通用錢包和全球短帳號)、SCT (智能合約模板)等技術,Chainge把DeFi領域中具有顯著優勢和特點的項目整合進一個生態中。用戶和投資者一進入Chainge的生態中,就像是進入到了一個自己的掌上銀行一樣,可以在Chainge中體驗到安全穩定去、中心化的金融服務。
Chainge錢包的主要功能,就是在安全的狀態下,讓用戶存儲自己的加密資產和加密資產的跨鏈,同時加上DEX功能給有交易需求的用戶使用。
黑客攻擊最長用的方法還是:閃電貸攻擊、合約業務漏洞攻擊、重入攻擊俗稱黑客三大招。
所以在安全方面,chainge采用了fusion技術,FUSION已實現并且發布了代碼的獨創DCRM核心技術,并完成了區塊鏈史上第一筆分布式簽名跨鏈交易!
FUSION此次在DCRM技術上的突破標志著金融衍生物分布式產生的新紀元,而在FUSION上為實現金融時間價值的Time Lock功能更是一個非常具有影響力的創新。
雖然,我也不知道fusion是啥技術,總之聽起來就是很厲害就對了,
微博:https://weibo.com/u/7533419377
公眾號:Chainge_Finance_CN
聽說牛又回來了???我趕緊看看我柳丁錢包里面是不是又多了一些幣。。,。。。
何出此言?因為我聽說有大量的美團和餓了么騎手集體辭職,,。我忽然明白了什么,
作者鄭重申明:截至發文時,作者與文中提及項目皆不存在任何利益關系。