火星链 火星链
Ctrl+D收藏火星链
首页 > 世界币 > 正文

SPARTA:被盗3000万美金 全面复盘BSC链上首次闪电贷攻击

作者:

时间:1900/1/1 0:00:00

在 DeFi 的世界里,借助于智能合约,个人创建金融产品的门槛被大幅降低。人们可以根据自己的需求,自由地设计自己的金融产品,并通过组合实现方便地交易。

目前,随着 DeFi 协议的组合愈发丰富,涌现出大量“货币乐高”的协议,从以太坊生态中的初代去中心化交易所 Uniswap,到二代进化版的 Sushiswap,再到币安智能链生态中的 PancakeSwap,但组合过程中的风险也逐渐凸显出来。

5 月 2 日,DeFi 协议 Spartan Potocol 遭到黑客攻击,PeckShield 「派盾」通过追踪和分析发现,Spartan Potocol?遭到闪电贷攻击,损失 3,000 万美元。

zkSync:账户被盗用系Twitter未遵循标准程序,批准冒充者更改密码的请求:4月16日消息,zkSync发布关于Twitter账户被盗用的详细报告,表示“冒充者伪造了身份,并在联系Twitter支持时声称自己是zkSync的官方代表,不幸的是,Twitter的技术支持人员没有遵循标准程序,并批准了冒充者更改电子邮件和密码的请求。”

由于zkSync启用了2FA,攻击者无法访问帐户,但由于密码已更改,团队已注销并无法访问,Twitter随后保护该帐户并密切合作以解决问题。此外Twitter加快了对金色已验证徽章的申请,现在所有官方附属帐户的名称旁边都有一个小点的zkSync符号。[2023/4/16 14:06:13]

斯巴达协议 (Spartan Protocol)是一个资产流动性项目,旨在解决现有 AMM 协议以及合成资产所出现的各类问题。斯巴达协议的流动性池是此协议的核心,所有一切系统内的相关应用都离不开流动性池的支持。SpartanSwap 应用了 THORCHAIN 的 AMM 算法。此算法采用流动性敏感资费(Liquidity-sensitive fee)来解决流动性冷启动以及滑点问题。

库币被盗COMP已经被盗币者全部交易,Kyber成为主要渠道:北京链安Chainsmap监测系统发现,库币交易所被盗的COMP已经被全部交易,获得的ETH被转移到某地址,共计3700ETH。在相关代币处理过程中,第一次使用了Kyber。相关交易分几批完成,一批COMP从转出到中间地址,再到Kyber完成交易,获得的ETH最终进入汇集地址用时不到4分钟。

据北京链安链上安全专家SXWK介绍,盗币者目前似乎采取了一种“币种扫荡式”交易方式,每次针对一个币种进行交易将其清空,此前已经完成所有SNX的交易。与此同时,我们也看到不少项目方正在针对性的进行合约升级,以便锁定本次事件被盗的币种,盗币者似乎正在与这种趋势“赛跑”。[2020/9/28]

以下是攻击过程:首先攻击者从 PancakeSwap 中借出闪电贷 10,000 WBNB;

金色晨讯 | GateHub被黑 被盗资金转移到多个交易所:1.郭台铭竞选办公室:“郭台铭投资比特币交易平台”是假新闻。

2.Kik CEO:美国SEC正在“继续分裂并控制整个行业”。

3.LTC哈希率创下历史新高 达379.87 TH/s。

4.李笑来:关于陈伟星诽谤案他已经换了四拨律师。

5.陈伟星:没有更换四波律师 ,李笑来律师一律否认其集资事实。

6.陈伟星:区别看待孙宇晨和李笑来的逻辑,是因区块链行业需要能分辨行为。

7.金融监理沙盒审议七件新申请案,包括试验在手机跨行支付中采用区块链技术。

8.柬埔寨国家银行联合相关部门监控和打击发行和行销“加密货币”。

9.预警:GateHub被黑,官方已禁用客户访问令牌,被盗资金转移到多个交易所。[2019/6/9]

第二步,攻击者在出现漏洞的 Spartan 兑换池中,分五次将 WBNB 兑换成 SPARTAN,用 1,913.172376149853767216 WBNB 分别兑换了 621,865.037751148871481851 SPARTA、555,430.671213257613862228 SPARTA, 499,085.759047974016386321 SPARTA, 450,888.746328171070956525 SPARTA, 和 409,342.991760515634291439 SPARTA。此时攻击者手撰 2,536,613.206101067206978364 SPARTA 以及 11,853.332738790033677468 WBNB, 攻击者将这些 Tokens 注入流动池中提供流动性,铸造出 933,350.959891510782264802 代币 (SPT1-WBNB);

独家 | 游戏Token被盗事件初步调查 ?:据成都链安科技消息,8月22日游戏God.game遭黑客攻击,合约内所有Token被攻击者席卷一空。成都链安科技团队立即展开安全排查。

疑似攻击地址:0x3abc8325a9ff36d78844ea8281b8c190c66c3d44根据此地址异常情况分析出的疑似攻击手段:1.攻击者先通购买了部分token;2.然后通过sell卖出token;3.导致账户dividends异常增加;4.最终通过调用reinvest()函数使用dividends购买大量token,

体现在Etherscan上的具体交易信息:

https://etherscan.io/tx/0x38c5499e8c8be5af32d6207fdaf088103cabaad05563915a21fb2f8aedce9618

该账户异常dividends如下图中左上角(1)部分所示;异常余额token总量如下图中右上角(2)部分所示;整套操作在Etherscan上体现为下图左下角(3)部分。针对真正产生异常的具体原因需要在代码层面进行排查,严谨论证结果报告需要更多的时间。

除了上述异常操作现象之外,成都链安科技还发现其“后门”,如下图中右下角(4)所示,这段代码给予合约创建者一个特殊权限,即能“随意更改指定地址上的账户余额”。其中_identifier是欲指定的地址,value为设置的账户代币余额。这两点是否都与此次攻击事件联系密切,亦或两者之间有联系。成都链安科技团队正进行合约代码安全漏洞排查并形成系统的分析报告。[2018/8/22]

第三步,攻击者运用同样的手法,在出现漏洞的兑换池中分十次将 WBNB 兑换成 SPARTAN,用1,674.025829131122046314 WBNB 分别兑换了 336,553.226646584413691711 SPARTA, 316,580.407937459884368081 SPARTA, 298,333.47575083824346321 SPARTA, 281,619.23694472865873995 SPARTA, 266,270.782888292437349121 SPARTA, 252,143.313661963544185874 SPARTA, 239,110.715943602161587616 SPARTA, 227,062.743086833745362627 SPARTA, 215,902.679301559370989883 SPARTA, 和205,545.395265586231012643 SPARTA ,总计 2,639,121.977427448690750716 SPARTA。

加密货币被盗 造成比特币价格大跌:此前加密货币Tether的发行公司报告了一起价值3100万美元的盗窃案。根据该公司网站周二发布的一则公告,这些代币于11月19日从Tether Treasury钱包被盗,被发送到了一个未经授权的比特币地址。该公司表示,不会赎回被盗的代币,正试图阻止它们进入代币生态系统。而盗窃事件的发生让比特币一度下跌5.4%,为11月13日以来最大跌幅,触及7799美元。[2017/11/22]

第四步,攻击者将 21,632.147355962694186481 WBNB 和所有的 SPARTA,即上面三步中所获的? 2,639,121.977427448690750716 SPARTA 转入流动池中,来抬高资产价格。

第五步,烧毁从第二步所获得的 933,350.959891510782264802 代币 (SPT1-WBNB),提回流动性,由于流动池处于通胀状态,共计烧毁 2,538,199.153113548855179986 SPARTA 和 20,694.059368262615067224 WBNB,值得注意的是,在第二步中,攻击者仅兑换了 11,853.332738790033677468 WBNB,此时攻击者获利 9,000 WBNB;

第六步,攻击者在第四步中注入 1,414,010.159908048805295494 pool token 为流动池提供流动性,随即启动烧毁机制获取2,643,882.074112804607308497 SPARTA 和21,555.69728926154636986 WBNB。

攻击者调用了流动性份额函数 calcLiquidityShare() 查询当前余额,进而操纵余额套利,正确的操作需使用 baseAmountPooled/tokenAmountPooled 状态。

DeFi 系统的运行需要由智能合约进行保证,这就要求智能合约的代码进行过缜密的审核。一旦智能合约中存在着任何漏洞,它就可能成为黑客攻击的对象。

在传统的条件下,黑客们攻击金融系统时所凭借的主要是他们在计算机技术上的优势,而在现有的 DeFi 生态下,由于各链、各应用之间的互通性还并不是那么好,因此跨链、跨应用之间的套利机率可能较大。这时,即使一个计算机本领不那么强的人,只要他有足够的金融知识和足够的市场嗅觉,就也可以成为黑客,对 DeFi 系统进行攻击。

黑客通过区块链上的闪电贷,以很小的成本借出大笔资金,然后用这笔资金去造成一些数字资产的价格波动,再从中渔利,最初兴起于以太坊,随着币安智能链等 CeFi + DeFi 生态上的资产愈发丰富,黑客也在随时伺机待发。

PeckShield 「派盾」相关负责人表示:“攻击手法仍换汤不换药,只是从一条链转到了另一条链,DeFi 协议开发者应在攻击发生后,自查代码。如果对此不了解,应找专业的审计机构进行审计和研究,防患于未然。”

标签:SPARTAPARARTPARTSpartanPARMAProStarterPART价格

世界币热门资讯
区块链:4.26午间行情:V型反转能否扭转颓势

文章系金色财经专栏作者牛七的区块链分析记供稿,发表言论仅代表其个人观点,仅供学习交流!金色盘面不会主动提供任何交易指导,亦不会收取任何费用指导交易,请读者仔细甄别,谨防上当.

1900/1/1 0:00:00
ISA:支付巨头Visa为何没有率先支持比特币 而选择了稳定币?

全球知名支付平台Visa将只采用美元稳定币(USDC)作为其平台上的一种支付和交易手段。?一个多月前,该平台宣布只接受USDC,而不是在市场上领先的例如比特币和以太坊等具有高价值的加密货币.

1900/1/1 0:00:00
COI:5.6午间行情:市场活跃 能否再次冲高

据欧易OKEx的数据显示,当前BTC/USDT现货报价为57200美元,24小时涨幅3.67%.

1900/1/1 0:00:00
稳定币:市值逼近摩根大通 以太坊能否有望年底前冲上1万美元?

比特币近期仍然陷于 54000-60000 美元的区间保持横盘震荡走势,同期以太坊继续飙升,5月9日晚间首次突破 4000 美元.

1900/1/1 0:00:00
DOV:比特币的黄金时代

勃鲁盖尔 《死亡的胜利》1562年写在前面周末在成都和老朋友们见面,18个月前在嘉楠的上市大会上我和熊越也做过一次炉边对话《属于比特币的黄金时代》这次在成都的大会上复盘了一下上次炉边对话的一些预.

1900/1/1 0:00:00
区块链:晚间必读5篇 | 区块链世界什么领域能够诞生万亿市值项目?

1.以太坊的Gas为什么会骤降?从4月20日高达260Gwei的Gas费价格。仅仅经过一周左右的时间,以太坊的Gas费已经降到了40Gwei以下,创2021年新低.

1900/1/1 0:00:00