当你知道Jordan的限量版鞋AJ今天晚上6点正式打折时,他从早上就搬了小凳子,在店里的位置一直很好。当他准备搓手的时候,他发现前面有些人不是真正的粉丝,而是牛。
牛包店留下了所有的新AJ,所以你很快切换到网上购物。不过,与以往一样,由于没有优质电脑,也没有专门为抢购而设计的小程序,网速没有付费升级,因此网上第一批AJ也被抢购一空。
一双原本要几千元的鞋子,在网上突然飙升到几万元,售价也不再是官店,而是牛。
这样的事件在你砍手的时候可能很常见,但同样的事情在区块链领域经常发生。
北京时间7月13日晚10:28,bzrx在Uniswap上市。一位用户通过智能合约第一次购买了1966100多台bzrx,使用650 火币4,在流量池中交换了bzrx的39.3%。两分钟后,由于大量购买,货币价格上涨,用户开始了一系列的销售,总利润为2030 火币4和30万bzrx代币。
然而,这种行为实际上是由攻击者执行的,具有巨大的成本风险(耗尽汽油)。在实际的攻击过程中,攻击者不确定自己是否会进行两次交易,这两次交易将被矿工挖矿并记录下来。
罗马风暴推特截图
根据安全工程师Roman storm的Twitter消息,事实上,在所有发送到出售bzrx的交易中,有14笔交易失败,而且每一笔失败的交易都要支付高额的GAS FEE。当然,其中15个是成功的,这意味着成功的概率大约是一半。事实上,实施攻击需要很大的风险。
如果攻击者现在正在抢购限量AJ鞋,他必须为每双鞋支付一笔手续费,并在每次购买的同时扣除手续费。然而,并不是每次购买都能成功。一旦购买失败,手续费将白白浪费。
从攻击思想的角度来看,这更像是一个经济问题
通过程序监控获取bzrx在线消息
低价bzrx,单笔大额采购
bzrx价格大幅上涨
多次出售bzrx
攻击者已经完成了这一系列的行动,其威力是让人们尽快偷铃,从而获利。
今年6月底,我们一定听说过类似事件。平衡机上的两个流动性池受到了闪电贷款的攻击,造成了50万美元的损失。在certik(Skynet)的Skynet系统检测到平衡器DFI契约异常后,对其进行分析。请点击“空手以太网:平衡器攻击分析”和“DeFi还有未来吗?”平衡器再次受到攻击”
在bzrx代币被列入Uniswap交易清单后,攻击者立即购买了大量bzrx。由于Uniswap交易所建立的市场机制,当某个代币被大量购买时,单价就会上涨。然后,通过大量交易,攻击者多次卖出高价bzrx获得火币4(每次卖出bzrx都会导致bzrx单价下降),最终获得大量利润。攻击成本和最终利润如下:
罗马风暴推特截图
两起事件的相似之处在于,攻击者利用DFI金融模“缺陷”的机制,通过低买高卖的方式进行套利。
此事件与均衡器攻击的区别在于,在均衡器攻击中,攻击者恶意控制并压低代币的数量以控制价格。在这次攻击中,攻击者利用bzrx刚刚被列入Uniswap交易清单且价格较低的时间获利,然后通过正常程序进行采购获利。因此,Roman storm在推特上表示,bzrx Ido事件既不是协议利用,也不是黑客攻击。
然而,与传统的智能合约不同,dei智能合约存在财务模漏洞。
即使代码和契约部署中没有漏洞,问题也可能出在财务模漏洞上。
听起来有点势不可挡?
Certik在这里给出了一些基本的方法和措施,希望能帮助DeFi project防止此类问题的再次发生:
卖出新币时,可以参考该币在交易所的流程。在卖出货币之前,交易所根据一定的指标给用户一个购买配额。货币卖出后,用户只能在一定的限额内购买。这样,用户就不必购买新发行货币的近40%,从而推高价格。
环价交易(Ring Trading)方法用于设置交易活动与成批销售之间的区间时间。
它是由dfusion类似的批量拍卖或荷兰拍卖。
这起事件既不是Defa项目被黑客入侵,也不是DeFi合同中存在缺陷。但在这一过程中,攻击者却钻了一个巨大的漏洞,这也反映了金融层面而非技术环节本身的不成熟。正如certik团队的专家先前分析的,这更像是一个经济问题。
因此,certik建议用户除了加强对DeFi项目的风险调查和随时监控安全漏洞外,还可以在必要时借助第三方安全公司帮助用户完成攻击测试和全面安全防御部署,帮助他们调查其他原因引起的问题。
文章标题:DeFi项目有两个月,BZRX IDO事件分析和预防建议。
文章链接:https://www.btchangqing.cn/64120.html
更新时间:2021年06月12日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。
