北京时间周一,Twitter用户发现,疑似黑客通过闪贷套现了嘉实金融,造成超过400万美元的损失。
随后,harvest Finance在推特上正式发布消息称,黑客发起的经济攻击是通过曲线y池发起的。为了保护用户,它已将Y池和BTC曲线策略基金放入保险库,所有稳定币和BTC基金都在保险库中(未在策略中部署),其他池不受影响。
对于此次安全事件,慢雾安全团队重复了黑客的攻击手段:攻击者使用以太坊匿名传输平台龙卷风现金转移到20以太坊作为后续攻击费,然后通过V2闪贷贷出大量USDC和USDT。
然后,攻击者首先通过curve将USDT更改为USDC,这导致曲线yUSDC池中investedunderlyingbalance参数更小。然后,攻击者在收割时存入大量美元,并施放fUSDC。铸造模糊控制器数量的计算取决于曲线yUSDC池的实际平衡参数,这会导致更多的fUSDC。
完成此步骤后,攻击者通过曲线将USDC改回USDT。此时,investedunderlyingbalance参数将恢复正常。攻击者只需返回fUSDC即可获得比充电时更多的USDC。通过重复这个过程,攻击者可以继续获利。
随着应用的发展,DeFi的安全性成为一个不容忽视的问题。
根据碧翠此前的一份报告,今年年初,两名黑客攻击了保证金交易协议BZX,套利金额达100万美元;随后,今年6月,平衡器流动性池再次遭到闪电贷款的攻击,损失50万美元。
闪贷的概念是2018年大理石协议首次提出的,旨在通过智能合约完成零风险贷款。智能合约平台一次处理事务,因此交易的所有元素都是批处理的。如果借款人无法偿还贷款,整个交易将被退回,就好像贷款根本没有发生一样。
闪贷不能收取传统意义上的利息,其初始营销标签主要用于套利交易。然而,黑客很快发现,他们可以利用它进行经济攻击。攻击者可以利用闪电贷款获得大量用于攻击的前端资金。贷款也使得这些资金用于与黑客本身没有直接关系的攻击,因此很难追踪黑客的身份。
在harvest finance遭到攻击的情况下,黑客利用这两点发动精心设计的攻击。Harvest finance仍在跟踪黑客的信息,其官方twitter表示,将向第一个成功联系攻击者并帮助返还用户资金的人或团队提供10万美元的公开奖励。
截至发布时,harvest finance的锁定价值为5.4亿美元,较前一天下跌近50%。
图片来源:皮克斯贝
作者梁哲
文章标题:丰收金融受到闪电贷款的攻击,而defi security还有很长的路要走
文章链接:https://www.btchangqing.cn/134254.html
更新时间:2021年06月12日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。
