火星链 火星链
Ctrl+D收藏火星链

SPARTA:被盗3000万美金 全面复盘BSC链上首次闪电贷攻击

作者:

时间:1900/1/1 0:00:00

在DeFi的世界里,借助于智能合约,个人创建金融产品的门槛被大幅降低。人们可以根据自己的需求,自由地设计自己的金融产品,并通过组合实现方便地交易。

目前,随着DeFi协议的组合愈发丰富,涌现出大量“货币乐高”的协议,从以太坊生态中的初代去中心化交易所Uniswap,到二代进化版的Sushiswap,再到币安智能链生态中的PancakeSwap,但组合过程中的风险也逐渐凸显出来。

5月2日,DeFi协议SpartanPotocol遭到黑客攻击,PeckShield「派盾」通过追踪和分析发现,SpartanPotocol?遭到闪电贷攻击,损失3,000万美元。

斯巴达协议(SpartanProtocol)是一个资产流动性项目,旨在解决现有AMM协议以及合成资产所出现的各类问题。斯巴达协议的流动性池是此协议的核心,所有一切系统内的相关应用都离不开流动性池的支持。SpartanSwap应用了THORCHAIN的AMM算法。此算法采用流动性敏感资费来解决流动性冷启动以及滑点问题。

SushiSwap:已从CoffeeBabe追回300多枚ETH被盗资金:金色财经报道,SushiSwap CEO Jared Grey发推表示,已经确认从CoffeeBabe中追回了300多枚ETH的Sifu被盗资金,正就700枚ETH的问题与Lido的团队联系。[2023/4/10 13:54:09]

以下是攻击过程:首先攻击者从PancakeSwap中借出闪电贷10,000WBNB;

第二步,攻击者在出现漏洞的Spartan兑换池中,分五次将WBNB兑换成SPARTAN,用1,913.172376149853767216WBNB分别兑换了621,865.037751148871481851SPARTA、555,430.671213257613862228SPARTA,499,085.759047974016386321SPARTA,450,888.746328171070956525SPARTA,和409,342.991760515634291439SPARTA。此时攻击者手撰2,536,613.206101067206978364SPARTA以及11,853.332738790033677468WBNB,攻击者将这些Tokens注入流动池中提供流动性,铸造出933,350.959891510782264802代币(SPT1-WBNB);

安全团队:“胖企鹅”出现冒名推特账户和钓鱼欺诈网站,已有22枚NFT被盗:8月25日消息,据派盾(PeckShield)监测,“胖企鹅”Pudgy Penguins 出现冒名推特账户 @pudgypinguins 和钓鱼欺诈网站 pudgypengun-lcb[.]com,目前已有 22 枚 NFT 被盗,包括 VeeFriends 和 Pudgy Penguins 系列 NFT。[2022/8/25 12:47:01]

第三步,攻击者运用同样的手法,在出现漏洞的兑换池中分十次将WBNB兑换成SPARTAN,用1,674.025829131122046314WBNB分别兑换了336,553.226646584413691711SPARTA,316,580.407937459884368081SPARTA,298,333.47575083824346321SPARTA,281,619.23694472865873995SPARTA,266,270.782888292437349121SPARTA,252,143.313661963544185874SPARTA,239,110.715943602161587616SPARTA,227,062.743086833745362627SPARTA,215,902.679301559370989883SPARTA,和205,545.395265586231012643SPARTA,总计2,639,121.977427448690750716SPARTA。

声音 | 韩国虚拟货币交易所三年被盗1.16亿美元:据韩国自由韩国党闵景旭议员称:“最近3年韩国虚拟货币交易所一共受到7次黑客攻击,其受损金额约1.16亿美元,其中约0.99亿美元是曾被韩国政府单位进行检查过的交易所丢失的。”[2018/7/9]

第四步,攻击者将21,632.147355962694186481WBNB和所有的SPARTA,即上面三步中所获的?2,639,121.977427448690750716SPARTA转入流动池中,来抬高资产价格。

第五步,烧毁从第二步所获得的933,350.959891510782264802代币(SPT1-WBNB),提回流动性,由于流动池处于通胀状态,共计烧毁2,538,199.153113548855179986SPARTA和20,694.059368262615067224WBNB,值得注意的是,在第二步中,攻击者仅兑换了11,853.332738790033677468WBNB,此时攻击者获利9,000WBNB;

Coincheck被盗后 日本对是否加强数字货币监管产生分歧:据Cryptovest报道,日本当局面对Coincheck被盗事件陷入了恐慌和分歧。日本前信息科技部副部长Mineyuki Fukuda表示,不应干涉金融科技行业发展,因为一次黑客行为不代表制度问题;而日本金融厅(FSA)正向日本数字资产管理局(JADA)寻求技术建议,以避免类似事件发生。此前,Coincheck虽没有获得FSA的完全批准,但仍正常运作。[2018/2/13]

第六步,攻击者在第四步中注入1,414,010.159908048805295494pooltoken为流动池提供流动性,随即启动烧毁机制获取2,643,882.074112804607308497SPARTA和21,555.69728926154636986WBNB。

攻击者调用了流动性份额函数calcLiquidityShare()查询当前余额,进而操纵余额套利,正确的操作需使用baseAmountPooled/tokenAmountPooled状态。

DeFi系统的运行需要由智能合约进行保证,这就要求智能合约的代码进行过缜密的审核。一旦智能合约中存在着任何漏洞,它就可能成为黑客攻击的对象。

在传统的条件下,黑客们攻击金融系统时所凭借的主要是他们在计算机技术上的优势,而在现有的DeFi生态下,由于各链、各应用之间的互通性还并不是那么好,因此跨链、跨应用之间的套利机率可能较大。这时,即使一个计算机本领不那么强的人,只要他有足够的金融知识和足够的市场嗅觉,就也可以成为黑客,对DeFi系统进行攻击。

黑客通过区块链上的闪电贷,以很小的成本借出大笔资金,然后用这笔资金去造成一些数字资产的价格波动,再从中渔利,最初兴起于以太坊,随着币安智能链等CeFiDeFi生态上的资产愈发丰富,黑客也在随时伺机待发。

PeckShield「派盾」相关负责人表示:“攻击手法仍换汤不换药,只是从一条链转到了另一条链,DeFi协议开发者应在攻击发生后,自查代码。如果对此不了解,应找专业的审计机构进行审计和研究,防患于未然。”

标签:PARTSPAPARSPARTAIdle Treasure Partyspacepi币怎么挖BLUESPARROWsparta币前景

火币网下载官方app热门资讯
ODE:牛市半途暴力洗盘 接着奏乐接着舞

比特币在2021年4月终结了连续6个月的强势上涨,录得月线收阴,同时已经连续10周处于45000-60000美元一线剧烈震荡,未能创下有效新高,引起市场对于行情见顶的恐慌,触发市场短期大幅调整.

1900/1/1 0:00:00
CHI:5.4晚间行情:以太坊能否接棒延续牛市

文章系金色财经专栏作者币圈北冥供稿,发表言论仅代表其个人观点,仅供学习交流!金色盘面不会主动提供任何交易指导,亦不会收取任何费用指导交易,请读者仔细甄别防上当.

1900/1/1 0:00:00
INB:燃情五月,涡轮加速赢福利

尊敬的用户:TBOS为回馈广大用户,特举办交易赠金活动,欢迎体验。CoinBene实名认证用户2021年5月6日16:00至2021年5月12日16:00活动一、交易赢20,000TBOS活动期.

1900/1/1 0:00:00
加密货币:关于ZBG完成QTUM网络升级和硬分叉的公告

公告编号2021050301各位关心ZBG.io的投资者们和项目方:ZBG.io已完成QTUM网络升级和硬分叉.

1900/1/1 0:00:00
ETHER:关于WBF对XCH隐藏的公告

尊敬的用户:应项目调整需求,WBF将对XCH/USDT进行隐藏处理,隐藏期间不展示币对且用户无法搜索到币对。为您带来不便,敬请谅解。恢复展示将会以公告另行通知,请留意公告.

1900/1/1 0:00:00
HEM:解读 Alchemy:为什么这家基础设施公司估值 5.05 亿美元?

刚刚完成8000万美元融资的Alchemy,要将区块链开发的整个流程简化为流水线流程。撰文:PaulVeradittakit,PanteraCapital创始合伙人翻译:PerryWang首先恭.

1900/1/1 0:00:00