根据2021年5月的ciphertrace报告,截至2021年4月底,加密领域的盗窃、黑客攻击和欺诈金额已达4.32亿美元,DeFi黑客攻击数量占黑客攻击总数的60%以上,高于2020年的25%,DeFi黑客的攻击数量逐年增加,2021年Q2被盗金额约1.3亿美元。
在很多WiFi黑客攻击案例中,flashloan无疑是最常见的黑客攻击类。闪贷是一种无担保贷款,可以在短时间内提供大量资金。贷款的智能合约必须在同一笔交易中完成,因此借款人必须在交易结束前使用其他智能合约帮助其与贷款资金进行实时交易。因此,黑客可以利用代码中的漏洞操纵定价并从中获利。
我们回顾了过去两周发生的闪贷黑客攻击事件
1.煎饼兔生态学理学学士
5月19日,pancakebunny遭到外部开发者的闪贷攻击。黑客利用pancakeswap借入大量的BNB,然后继续操纵USDT/BNB和Bunny/BNB的价格,从而获得大量的Bunny并将其出售,导致Bunny的价格暴跌。最后,黑客通过pancakeswap交换了BNB。闪电贷款攻击预计损失114631.5421wbnb和697245.5699bunny,总计约4500万美元。象征性兔子的价格一度跌破2美元,最大降幅超过99%。
2.陷入困境的财务;生态学理学学士
5月22日,黑客对bog代币合约质押功能漏洞进行闪电攻击。该漏洞旨在通过收取转移金额的5%来减少。具体来说,5%的费用中,1%销毁,4%用作质押利润。但执行代币合同仅收取转让金额的1%,却仍虚增4%作为质押利润。因此,攻击者可以通过借款大幅增加质押金额,并反复自动转账,获得虚增的质押利润。之后,袭击者立即以约360万美元的wbnb价格出售了膨胀的bog。
3.自动共享BSC生态
5月24日,autoshark遭到闪电贷款的攻击
1) 攻击者从pancake的wbnb/busd事务对中借用了大量wbnb;
2) 第一步借出的一半wbnb将通过Panther的share/wbnb交易对转换成大量股份,池中wbnb的数量将增加;
3) 第一步和第二步的wbnb和shark被放入sharkminer中,为后续的攻击做准备;
4) 在autoshark项目的wbnb/shark策略池中调用getreward函数。此功能将根据用户资金从用户利润中提取部分服务费,并以鲨鱼代币作为贡献值奖励用户。这部分操作是在sharkmiter合同中操作的;
5) sharkinter contract收到用户收入的LP服务费后,将LP拆分为相应的wbnb和shark,并将其添加回Panther的wbnb/shark事务池;
6) 在步骤3中,攻击者已提前将相应的代币输入sharkinter契约中。当sharkminter合约移除流动性然后添加流动性时,它使用sharkminter合约的wbnb和shark余额来添加流动性。这部分余额包括攻击者在步骤3中签订sharkminter合同的余额,即sharkminter合同错误地认为攻击者在合同中签订了巨额手续费;
7) sharkinter contract在获得服务费金额后,通过tvlinwbnb函数计算出这部分服务费的价值,然后根据服务费的价值向用户投币shark token。但是,在计算LP值时,我们使用panther wbnb/shark pool的实时wbnb数量除以LP总量来计算wbnb LP可以交换多少。但在第二步中,黑豹池中的wbnb数量很大,导致LP值较高;
8) 在LP值错误和服务费获取错误的情况下,sharkinter contract在计算攻击者的贡献时最终计算出一个非常大的值,导致sharkinter contract为攻击者铸造了大量shark代币;
9) 攻击者随后出售了shark代币以交换wbnb并偿还闪贷。然后离开。
这一事件导致autoshark货币价格暴跌至0.01美元,跌幅超过99%。
4.梅林实验室生态学理学学士
5月26日,DeFi收入聚合器Merlin labs遭到攻击。这次袭击类似于煎饼兔的袭击,损失了200 ETH。
5.生态学理学学士
5月27日,DEX协议和自动流动性协议julswap受到闪电贷款的冲击,julb美元在短时间内下跌超过95%。
6.生态学理学学士
自动做市商Burgerswap被怀疑受到了闪电贷款的攻击。超过432874个汉堡被盗,价值约330万美元。攻击者从1INCH的利润中获利。一些投资者损失了近97%。
7、生态带金融理学学士
5月29日,贝尔金融遭遇闪电贷款。攻击者利用闪电贷款,通过8笔交易从贝尔特融资协议中获得620多万美元,并将大部分资金转换成anyETH,提取到以太坊。损失为620万美元。
以上被黑的项目都有一个共同点,那就是属于BSC生态。自5月份以来,BSC生态项目受到了快速贷款的冲击,损失总额超过1.57亿美元。巨额亏损也给开发者敲响了警钟:闪贷是开发者在创建智能合约时必须考虑的问题。
Defi一直被认为是未来金融的新范式,它的出现也使我们能够参与新的金融交易。然而,由于技术栈的复杂性,一些功能可能在系统中完全无关的部分被滥用,造成巨大损失,不仅损害了投资者的利益,也给项目和行业蒙上了污点,让外人望而却步。
文章标题:最近两周的闪贷漏洞案例
文章链接:https://www.btchangqing.cn/272807.html
更新时间:2021年06月04日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。
