2020年,闪电贷攻击频发,成为安全事故中的“新常态”。
2021年,对于黑客来说,闪电贷攻击看起来依旧是“盛宠不衰”。
北京时间2月9日,CertiK安全技术团队发现智能DeFi收益聚合器BT.Finance遭受黑客攻击。
BT.Finance已暂时停止了向Curve.fi存款,以防止再次被攻击。受攻击的策略包括ETH、USDC和USDT,其他策略不受影响。
BT.Finance表示,有用于保险和赔偿的管理资金,为了投资者和DeFi的良好发展,希望黑客能够将资金归还。
Cream Finance称闪电贷攻击共导致3400万美元的AMP和ETH被盗,会分配协议费用的20%用于偿还:9月1日消息,抵押借贷平台Cream Finance在发布的闪电贷攻击事后分析报告中表示,漏掉导致共4.6亿枚AMP代币和2804枚ETH(当时价值约合3400万美元)被盗,并承诺将所有协议费用的20%用于偿还,直至全部偿还。此次安全事件有一个主要的漏洞攻击者和一个模仿者。Cream Finance会将所有相关信息转交执法机关,并在法律允许的范围内进行起诉。
Cream Finance称,在PeckShield的帮助下,确定了漏掉被利用的根本原因是Cream Finance将AMP集成到其协议中的方式存在错误。目前,Cream Finance已暂停了AMP借贷服务,并正在与审计员和技术顾问合作,已确保防范类似攻击。[2021/9/1 22:51:45]
此外,BT.Finance提款费用保护使这次攻击的损失减少了近14万美元。ICOAnalytics对此表示,受影响资金约为150万美元。
array finance官方:闪电贷造成超50万美元损失,或为一名内部人员所为:官方消息,DeFi项目array finance证实遭到闪电贷攻击,官方表示,攻击者获利约272.94 ETH,价值约51.5万美元。array希望找到一家公司或组织,为失去的流动性提供担保,并在启动后偿还。
此外,array表示,将Gismar从团队中除名,因为团队认为他的疏忽和粗心导致流动性被偷,或者他自己偷了钱。目前正在积极尝试联系和联络Gismar,但他的所有社交媒体已经关闭和清空。array下一步将用剩余的资金雇佣一个可靠的开发人员;解决手头的问题,这样就可以继续目前的工作;试着找个人为70万美元做抵押;采取法律行动。最后,array将很快有一个投票系统设置为CCO Contributors决定是否继续进行该项目。[2021/7/19 1:03:06]
CertiK安全技术团队立即展开分析,现将攻击流程细节分析如下:
DeFi收益聚合器Yeld.finance的DAI池遭到闪电贷攻击 损失16万DAI:2月27日消息,DeFi收益聚合器Yeld.finance的DAI池遭到闪电贷攻击,损失16万DAI,涉及10余名用户。Tether、TrueUSD和USDC均未受到影响。据介绍,Yeld的问题与前期Yearn.Finance的DAI池漏洞问题一致。官方同时表示,受影响的使用者将得到代币偿还,代币来自DAI池的收入奖励,以弥补他们的部分损失。[2021/2/27 17:59:06]
攻击者首先从dydx中使用闪电贷借出约100000个ETH。
攻击者将大约57000个ETH存到CurvesETH池中。
攻击者从CurvesETH池中取出sETH,由于存入了大量的ETH,导致sETH的价格上升,此时攻击者取出了约35000个sETH。
攻击者将大约4340个ETH存入bt.financeETH策略池中。
攻击者调用earn函数。
攻击者将步骤3中取出的sETH全部存入CurvesETH池中并取出ETH,最后触发bt.financeETH策略池的withdraw函数,取出全部存入该池中的ETH。
重复上述2-5步骤5次,并归还闪电贷,完成获利。
攻击者单次攻击进行的交易
攻击者进行了五次相同的攻击
安全建议
高收益必定伴随着高风险。
区块链的每一个应用版块几乎都包含了智能合约,而针对底层代码和设计模式的安全审计是保护项目的首要之事。
CertiK再次建议项目方注意规避风险,投资者在投资前认准项目是否具备完整的安全审查及后续的安全保障。
截止到2020年底,CertiK已经进行了超过369次的安全审计,审计了超过198,000行代码,并保护了价值超过100亿美元的加密资产。
参考链接
0xc71cea6fa00d11e98f6733ee8740f239cb37b11dec29e7cf85d7a4077977fa65
https://twitter.com/doug_storming/status/1358896348276391939?s=20
标签:ETHANCFINNANEthereumVaultCyberTime FinanceRhinos FinanceNANOX
解密神秘500.com:今年预计挖2500枚比特币背后清华紫光或造矿机?吴说区块链real刚刚23目前美股加密矿业公司主要分成三类:第一类是传统的中国矿机厂商嘉楠和亿邦.
1900/1/1 0:00:00本文来源:新浪科技北京时间2月19日凌晨消息,英伟达周四宣布,该公司将会发布一系列新的芯片,专门用于开采第二大数字加密货币以太币.
1900/1/1 0:00:00区块链是BAT的必争之地,百度做了百度超级链,腾讯做了TrustSQ,阿里做了蚂蚁链。这些都是以链的形式存在的,除了链的形式外,融合区块链技术才是尝试更多的.
1900/1/1 0:00:00不可否认,目前NFT市场非常火爆。不妨看看过去30天NTF市场的销售额,屡创新高,每天都有数百万美元资金在各种新项目和老项目之间转移.
1900/1/1 0:00:002021年2月9日早八点,据欧易OKEx行情显示,比特币再次向上突破,最高报价47480.8美金,冲击50000美金关口。比特币破新高,与新晋世界首富、特斯拉总裁马斯克密近期的言论不可分.
1900/1/1 0:00:00盘点:各地布局区块链四十余个产业园为创业者提供红利期链新刚刚16公开资料显示,截至2020年12月末,全国各类区块链产业园区已有四十余个.
1900/1/1 0:00:00