PAL:又一例闪电贷攻击 Palmswap安全事件分析

在 2023 年 7 月 24 日，Palmswap 遭受了一次闪电贷攻击，导致失去了 901,455 USDT（约等于 901,000 美元）。由于项目的 PlpManager 合约存在漏洞，导致 USDP 计算错误，从而导致了此次攻击。

在 2023 年 7 月 24 日，Palmswap 遭受了一次闪电贷攻击，导致损失约 901,000 美元。攻击最初是在区块 30248637 上由外部拥有的地址（EOA）0x5cf40 尝试发起的，但由于攻击者耗尽了 gas 费用而失败。

图片：失败的交易。来源：Bscscan原始攻击者从以太坊网络的 Tornado Cash 中提取了 1 个 ETH。然后，将 1 个 ETH 兑换成 USDT 并通过跨链桥转移到币安智能链（BSC）。随后，将 USDT 兑换成 BNB 并用于创建攻击合约。然而，不幸的是，攻击者没有足够的 BNB 来覆盖这次攻击。

嘉楠科技面临又一起集体诉讼:嘉楠科技面临又一起集体诉讼。律师事务所Rosen代表嘉楠股票投资者对嘉楠科技首次公开募股（IPO）提起了诉讼。该律师事务所声称，由于在IPO过程中未能披露许多问题，导致投资者因其虚假和误导性陈述而蒙受了损失。（Cointelegraph）[2020/3/5]

这让 EOA 0xf84ef 能够发现失败的交易，理解并复制了区块 30248638 的交易从而支付了正确数量的 gas 费用。

图片：成功交易。来源：Bscscan由此可见，原始攻击未能成功完成，是因为攻击者没有额外的 0.4 BNB 来支付交易费用。

一旦 EOA 0xf84ef 成功利用漏洞，被盗资金就会被转移到了 EOA 0x0Fe74，目前仍在该地址中。

动态 | 币安被盗BTC中又一关键地址异动，黑客持续中:据PeckShield数字资产护航系统（AML）最新数据显示，继昨天币安被盗7,074枚BTC的其中1个包含1,060枚BTC bc1q2rdpy开头的地址密集后，今天下午16时54分，另一存放有1,060枚BTC 16SMGihY9开头的地址也出现异动。黑客又以不断切割、分散的方式，频繁操作了数百笔交易，直至新地址上最小额仅有0.78枚BTC。截至目前，币安被盗7,074枚BTC分散后的7个主要地址中，已有2个开始密集，其中大部分小额地址存成功可能。[2019/6/15]

图像：被盗资金转移。来源：BscscanThe Palmswap 团队已经联系持有被盗资金的钱包，并试图协商赏金。然而，BSC scan 似乎错误地标记了一个错误的钱包作为 Palmswap 的攻击者：

分析 | 又一POWH3D山寨合约大火 高额手续费模式存疑:据第三方大数据评级机构RatingToken分析，熊市行情低迷，特别是ETH的反弹更是软弱无力，投资机会稀缺，造成Fomo3D和POWH3D的山寨层出不穷，不过大都昙花一现。DailyDivs自9月2日上线以来交易量和交易金额稳步增长。研究人员深入研究合约代码发现DailyDivs与之前的爆款游戏最大区别在于以下几点：

1、买和卖的手续费分红高达25%，相比POWH3D的10%提高了很多；

2、使用三层推荐体系，推荐费用分配比例为5:3:2；

3、DailyDivs是个游戏平台并且公开合约代码，但是实际进行的Earn Game和Lotto Game游戏合约代码是没有公开，RatingToken团队提示玩家注意资金风险。详情见原文链接。[2018/9/4]

中国信通院所长何宝宏：区块链只是互联网又一块补丁，不可能颠覆它:中国信息通信研究院云计算与大数据研究所所长何宝宏今日在第二届区块链新金融高峰论坛上表示，区块链只是20年来“对互联网又一块大点的补丁”，不可能颠覆互联网，更不可能颠覆当前世界。[2018/6/6]

图片：链上消息提供赏金。来源：BscscanPalmswap 的官方 X 账户证实了其与黑客的谈判已经开始。

图片：Palmswap X 官方公告（来源：/img/202386165225/5.jpg" />

图片：plpmanager.sol 源代码来源：BscScan4.在第 3 步中，1,953,430 USDP 被交换成了 1,947,570 USDT（价值 $1,948,019.41）。

5.攻击者还清了通过闪电贷借入的最初 3,000,000 USDT，之后攻击者的钱包中还剩下 $901,445。

在 2023 年，已经发生了 128 起闪电贷攻击，相比之下，我们在 2022 年只记录了 101 起。随着攻击者寻求从智能合约漏洞中获取最大利润，闪电贷攻击在黑客中变得越来越受欢迎。

在此次事件发生时，闪电贷攻击已经导致 2.55 亿美元的损失，平均每起攻击导致约为 200 万美元的损失。在 7 月的前三周，我们已经记录了 22 起闪电贷攻击，造成共计 850 万美元的损失。2023 年每个月的平均闪电贷攻击次数为 18 次。目前，7 月的闪电贷事件数量正朝着创纪录的方向发展。目前，它与 2023 年 2 月持平，该月份也有 22 起攻击事件。

图表：2023 年闪电贷攻击导致的资金损失。数据来源：CertiK

图表：2023 年各月份的闪电贷攻击次数。数据来源：CertiK结论Palmswap 的闪电贷攻击是 CertiK 在 7 月份检测到的第二大恶意闪电贷攻击，该月份总共损失了 580 万美元。该攻击在 2023 年的恶意闪电贷攻击中排名第十。尽管 2023 年的闪电贷攻击数量没有减少，今年已经发生了 127 起，而 2022 年仅有 101 起，但当前损失的资金体量显著降低。这其中可能有几个原因。首先，2022 年上半年的市场条件导致被盗的资产在美元价值上更高。其次，由于闪电贷是一个相对较新的概念，用于防御这种攻击的安全策略仍在开发中，这意味着持有大量资金的项目成为攻击目标。2023 年的闪电贷攻击数量证明了项目方需要强大的安全措施和第三方审计。

CertiK中文社区

企业专栏

阅读更多

Foresight News

金色财经 Jason.

白话区块链

金色早8点

LD Capital

-R3PO

MarsBit

深潮TechFlow

标签：USDPALMALMPALPUSD币PALM价格Almira WalletPALT币

SAND热门资讯