比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

被盜3000萬美金 全面復盤BSC鏈上首次閃電貸攻擊_SPA

Author:

Time:1900/1/1 0:00:00

在DeFi的世界里,借助于智能合約,個人創建金融產品的門檻被大幅降低。人們可以根據自己的需求,自由地設計自己的金融產品,并通過組合實現方便地交易。

目前,隨著DeFi協議的組合愈發豐富,涌現出大量“貨幣樂高”的協議,從以太坊生態中的初代去中心化交易所Uniswap,到二代進化版的Sushiswap,再到幣安智能鏈生態中的PancakeSwap,但組合過程中的風險也逐漸凸顯出來。

5月2日,DeFi協議SpartanPotocol遭到黑客攻擊,PeckShield「派盾」通過追蹤和分析發現,SpartanPotocol?遭到閃電貸攻擊,損失3,000萬美元。

斯巴達協議(SpartanProtocol)是一個資產流動性項目,旨在解決現有AMM協議以及合成資產所出現的各類問題。斯巴達協議的流動性池是此協議的核心,所有一切系統內的相關應用都離不開流動性池的支持。SpartanSwap應用了THORCHAIN的AMM算法。此算法采用流動性敏感資費來解決流動性冷啟動以及滑點問題。

PeckShield:美國演員Seth Green遭遇釣魚攻擊,BAYC、Doodle等4個NFT被盜:5月18日消息,PeckShield發推稱,美國演員Seth Green遭遇釣魚攻擊致4個NFT被盜,0xC8a0907開頭的漏洞利用者地址已經售出了其中的3個(包括1個BAYC、1個MAYC和1個Doodle),獲利145.5枚ETH(約30.2萬美元)。[2022/5/18 3:24:06]

以下是攻擊過程:首先攻擊者從PancakeSwap中借出閃電貸10,000WBNB;

第二步,攻擊者在出現漏洞的Spartan兌換池中,分五次將WBNB兌換成SPARTAN,用1,913.172376149853767216WBNB分別兌換了621,865.037751148871481851SPARTA、555,430.671213257613862228SPARTA,499,085.759047974016386321SPARTA,450,888.746328171070956525SPARTA,和409,342.991760515634291439SPARTA。此時攻擊者手撰2,536,613.206101067206978364SPARTA以及11,853.332738790033677468WBNB,攻擊者將這些Tokens注入流動池中提供流動性,鑄造出933,350.959891510782264802代幣(SPT1-WBNB);

Google Cloud安全報告:86%的被盜賬戶被用于加密貨幣挖礦:11月30日消息,谷歌提醒用戶,惡意行為者利用被攻擊的谷歌云賬戶來挖掘加密貨幣。谷歌云賬戶可以獲得處理能力,可以很容易地被重新定向以執行惡意任務。根據谷歌為提高對其平臺安全弱點的認識而發布的第一份 \"威脅地平線 \"報告,86%的受損賬戶被用于此目的。

該報告指出,在云中開采加密貨幣會導致CPU和/或GPU功率的高度使用。它還提到了Chia等替代性加密貨幣的開采,這些貨幣使用存儲空間作為開采資源。(bitcoin news)[2021/11/30 12:40:27]

第三步,攻擊者運用同樣的手法,在出現漏洞的兌換池中分十次將WBNB兌換成SPARTAN,用1,674.025829131122046314WBNB分別兌換了336,553.226646584413691711SPARTA,316,580.407937459884368081SPARTA,298,333.47575083824346321SPARTA,281,619.23694472865873995SPARTA,266,270.782888292437349121SPARTA,252,143.313661963544185874SPARTA,239,110.715943602161587616SPARTA,227,062.743086833745362627SPARTA,215,902.679301559370989883SPARTA,和205,545.395265586231012643SPARTA,總計2,639,121.977427448690750716SPARTA。

2020年因犯罪被盜加密貨幣總值可能將接近45億美元:根據數字資產情報公司CipherTrace發布的新報告,在今年的前五個月中,通過加密貨幣犯罪吸納的不良資金高達14億美元。報告繼續指出,如果以同樣速度繼續下去,2020年被盜加密貨幣的總量有可能接近2019年設定的45億美元大關。犯罪分子利用正在蔓延的COVID-19病,通過各種與加密相關的網絡釣魚活動、勒索軟件和黑暗市場欺詐誘使毫無戒心的個人進入。(Cointelegraph)[2020/6/7]

第四步,攻擊者將21,632.147355962694186481WBNB和所有的SPARTA,即上面三步中所獲的?2,639,121.977427448690750716SPARTA轉入流動池中,來抬高資產價格。

動態 | 業內多方懷疑Cryptopia被盜事件為自導自演:據Cointelegraph消息,業內多方懷疑Cryptopia被盜事件為自導自演。數字貨幣評論員WhalePanda稱:“有趣的是,這發生在一個熊市季節,小型交易所正努力維持收支平衡,并積極向任何參與加密項目的人發送消息,要求他們支付上市費用,以便在自己的平臺上上市。”對此,監測平臺Whale Alert回復此推特,稱Cryptopia在被盜的前一天還曾轉移資金,并附圖說明(曾經有兩筆總額約為350余萬美元的虛擬貨幣資產從交易所轉出至不明地址)。此外,媒體Breaker也于15日報道,部分有關人士認為Cryptopia被盜是在自導自演,并解說該交易所可能想以被盜為借口來逃避其突如其來的債務。此前消息,新西蘭交易所Cryptopia發現嚴重安全漏洞,目前已停機維護,正在調查中。[2019/1/16]

第五步,燒毀從第二步所獲得的933,350.959891510782264802代幣(SPT1-WBNB),提回流動性,由于流動池處于通脹狀態,共計燒毀2,538,199.153113548855179986SPARTA和20,694.059368262615067224WBNB,值得注意的是,在第二步中,攻擊者僅兌換了11,853.332738790033677468WBNB,此時攻擊者獲利9,000WBNB;

第六步,攻擊者在第四步中注入1,414,010.159908048805295494pooltoken為流動池提供流動性,隨即啟動燒毀機制獲取2,643,882.074112804607308497SPARTA和21,555.69728926154636986WBNB。

攻擊者調用了流動性份額函數calcLiquidityShare()查詢當前余額,進而操縱余額套利,正確的操作需使用baseAmountPooled/tokenAmountPooled狀態。

DeFi系統的運行需要由智能合約進行保證,這就要求智能合約的代碼進行過縝密的審核。一旦智能合約中存在著任何漏洞,它就可能成為黑客攻擊的對象。

在傳統的條件下,黑客們攻擊金融系統時所憑借的主要是他們在計算機技術上的優勢,而在現有的DeFi生態下,由于各鏈、各應用之間的互通性還并不是那么好,因此跨鏈、跨應用之間的套利機率可能較大。這時,即使一個計算機本領不那么強的人,只要他有足夠的金融知識和足夠的市場嗅覺,就也可以成為黑客,對DeFi系統進行攻擊。

黑客通過區塊鏈上的閃電貸,以很小的成本借出大筆資金,然后用這筆資金去造成一些數字資產的價格波動,再從中漁利,最初興起于以太坊,隨著幣安智能鏈等CeFiDeFi生態上的資產愈發豐富,黑客也在隨時伺機待發。

PeckShield「派盾」相關負責人表示:“攻擊手法仍換湯不換藥,只是從一條鏈轉到了另一條鏈,DeFi協議開發者應在攻擊發生后,自查代碼。如果對此不了解,應找專業的審計機構進行審計和研究,防患于未然。”

Tags:PARPARTARTSPAPARACharged ParticlesSmartCashKaspa

火幣交易所
57000破掉空你做到了嗎? 院長說幣行情分析(5/4)_比特幣

本公眾號的文章只做研究、學習和交流使用,不具有任何的操作指導意義!幣圈唯一每天堅持視頻分析行情的公眾號!更多內容請看“院長說幣”公眾號.

1900/1/1 0:00:00
Gemini創始人:狗狗幣貨幣供應比美元更堅固、更透明且更可預測_MIN

Gemini創始人TylerWinklevoss發推文稱:“你可以說出你對狗狗幣的任何看法,但它的貨幣供應比美元更堅固、更透明且更可預測。這才是真正的笑話.

1900/1/1 0:00:00
5.1晚間行情:五一不打烊 短期還要漲_okex

文章系金色財經專欄作者幣圈北冥供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別防上當.

1900/1/1 0:00:00
Gate.io Startup首發項目Ispolink Token (ISP)認購結果及上線交易公告_GATE

1.關于首發項目IspolinkToken(ISP)認購結果Gate.ioStartup首發項目IspolinkToken代幣ISP于2021年05月05日10:00開始認購下單.

1900/1/1 0:00:00
“天王”級項目奇亞Chia意欲何為?鯨交所帶你一探究竟_GATE

導語: 最近,號稱是“天王”級的項目奇亞Chia占據市場眼球,據說因為它的橫空出世,硬盤價格一周內暴漲2-3倍,一度發生“一盤難求”的空前盛況.

1900/1/1 0:00:00
ZD礦池新增DOG理財的公告_ACE

尊敬的用戶: 即日起ZD礦池新增DOG理財,理財周期15天,1億DOG起投,預期年化收益10.95%注:DOG鏈上轉賬手續費5%,錢包持幣用戶不建議參與本活動.

1900/1/1 0:00:00
ads