在DeFi的世界里,借助智能合约,个人创造金融产品的门槛大大降低。人们可以根据自己的需求自由设计自己的金融产品,通过组合实现便捷的交易。
目前,随着DeFi协议的组合越来越丰富,出现了大量的“货币乐高”协议,从以太坊生态的第一代去中心化交换Uniswap,到第二代进化交换,再到硬币安全智能链生态的pancakeswap。然而,合并过程中的风险逐渐Convex显。
5月2日,DeFi协议Spartan potocol遭到黑客攻击。通过跟踪分析,派克希尔DeFi现斯巴达波托科尔遭到了闪电贷款的袭击,损失3000万美元。
斯巴达协议是一个资产流动性项目,旨在解决现有AMM协议和合成资产的各种问题。Sparta协议的流动性池是该协议的核心,系统中的所有相关应用都离不开流动性池的支持。Spartanswap使用thERChain的AMM算法。该算法利用流动性敏感费用来解决流动性冷启动和滑动点问题。
攻击过程如下:首先,攻击者从pancakeswap借用10000个wbnb;
在第二步中,攻击者在发生漏洞的斯巴达交换池中五次将wbnb转换为斯巴达,并交换了621865.037751148871481851斯巴达、555430.67121325761386228斯巴达、499085.7590479740163821斯巴达、450888.746328171070956525斯巴达,和409342.991760515634291439斯巴达和1913.17237649853767216 wbnb。此时,攻击者手动编写了2536613.206101067206978364 Sparta和11853.332738790033677468 wbnb。攻击者将这些代币注入流池以提供流动性,铸造933350.959891510782264802代币(spt1 wbnb);
在第三步中,攻击者使用相同的方法在发生漏洞的交换池中分十次将wbnb交换到斯巴达,并使用1674.0258291312046314 wbnb交换336553.226646584413691711斯巴达、316580.407937459884368081斯巴达、298333.4757508324346321斯巴达、281619.236944728873995斯巴达,266270.782888292437349121斯巴达、252、143.313661963544185874斯巴达、239110.715943602161587616斯巴达、227062.74308633745362627斯巴达、215902.6793015593709883斯巴达、205545.395265586231012643斯巴达,共计2639121.977427448690750716斯巴达。
在第四步中,攻击者将21632.147355962964186481 wbnb和所有Sparta(即在上述三步中获得的2639121.977427448690750716 Sparta)转移到流动池中,以提高资产价格。
第五步是烧掉第二步获得的933350.959891510782264802代币(spt1 wbnb),回收流动性。由于流动池的膨胀,2538199.153113548855179986斯巴达和20694.059368262615067224 wbnb被烧毁。值得注意的是,在第二步中,攻击者只交换了11853.332738790033677468个wbnb,获得了9000个wbnb
第六步,攻击者在第四步注入1414010.159908048805295494池代币,为流池提供流动性,然后启动烧录机制,获得2643882.074112804607308497 Sparta和21555.69728926154636986 wbnb。
攻击者调用流动性共享函数calcliquidityshare()查询当前余额,然后操纵余额套利。正确的操作需要使用baseamountpooled/tokenamountpooled状态。
DeFi系统的运行需要通过智能合约来保证,这需要仔细审查智能合约的代码。一旦智能合约出现漏洞,就有可能成为黑客攻击的目标。
在传统条件下,黑客攻击金融系统主要是凭借其在计算机技术上的优势。然而,在现有的DeFi生态中,由于链与应用之间的互操作性较差,跨链与应用之间的套利率可能较大。在这个时候,即使一个人的计算机技能较低,只要他有足够的金融知识和足够的市场意识,他也可以成为黑客攻击DeFi系统。
黑客通过区块链上的闪贷,以小成本大量放贷,然后利用这些资金造成部分数字资产的价格波动,进而从中获利。它最初诞生于以太坊。随着cefi+DeFi生态系统中日益丰富的资产(如coin和智能链),黑客随时都在等待机会。
派克希尔德“派顿”的相关负责人说:“攻击技术还在变化,只是从一个链条到另一个链条。DeFi协议的开发人员应该在攻击后检查代码。如果你对此一无所知,你应该找一个专业的审计机构进行审计和研究,并采取预防措施。”
文章标题:BSC的第一次闪电贷款攻击:defi LEGO如何接管?
文章链接:https://www.btchangqing.cn/254302.html
更新时间:2021年06月12日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。
