又一例閃電貸攻擊 Palmswap安全事件分析_ALM

在 2023 年 7 月 24 日，Palmswap 遭受了一次閃電貸攻擊，導致失去了 901,455 USDT（約等于 901,000 美元）。由于項目的 PlpManager 合約存在漏洞，導致 USDP 計算錯誤，從而導致了此次攻擊。

在 2023 年 7 月 24 日，Palmswap 遭受了一次閃電貸攻擊，導致損失約 901,000 美元。攻擊最初是在區塊 30248637 上由外部擁有的地址（EOA）0x5cf40 嘗試發起的，但由于攻擊者耗盡了 gas 費用而失敗。

圖片：失敗的交易。來源：Bscscan原始攻擊者從以太坊網絡的 Tornado Cash 中提取了 1 個 ETH。然后，將 1 個 ETH 兌換成 USDT 并通過跨鏈橋轉移到幣安智能鏈（BSC）。隨后，將 USDT 兌換成 BNB 并用于創建攻擊合約。然而，不幸的是，攻擊者沒有足夠的 BNB 來覆蓋這次攻擊。

PeckShield：DeFi協議MerlinLabs遭到攻擊，是PancakeBunny的又一同源攻擊:5月26日消息，PeckShield“派盾”預警顯示，DeFi收益聚合器MerlinLabs遭到攻擊，此次攻擊手法與5天前遭到閃電貸攻擊的PancakeBunny的攻擊手段相似，損失200ETH。[2021/5/26 22:46:25]

這讓 EOA 0xf84ef 能夠發現失敗的交易，理解并復制了區塊 30248638 的交易從而支付了正確數量的 gas 費用。

圖片：成功交易。來源：Bscscan由此可見，原始攻擊未能成功完成，是因為攻擊者沒有額外的 0.4 BNB 來支付交易費用。

動態 | 南威軟件：區塊鏈證照通是公司在電子證照領域的又一創新成果:南威軟件（SH603636）在回答投資者提問時表示，區塊鏈證照通是公司在電子證照領域的又一創新成果，政務中臺是公司未來在“數字政府”領域的重要支撐平臺，與阿里經濟體的深度合作，將有利于公司積極運用阿里經濟體基礎技術方面的核心能力，增強公司在“數字政府”領域的核心競爭力。[2019/9/18]

一旦 EOA 0xf84ef 成功利用漏洞，被盜資金就會被轉移到了 EOA 0x0Fe74，目前仍在該地址中。

圖像：被盜資金轉移。來源：BscscanThe Palmswap 團隊已經聯系持有被盜資金的錢包，并試圖協商賞金。然而，BSC scan 似乎錯誤地標記了一個錯誤的錢包作為 Palmswap 的攻擊者：

分析 | 又一POWH3D山寨合約大火 高額手續費模式存疑:據第三方大數據評級機構RatingToken分析，熊市行情低迷，特別是ETH的反彈更是軟弱無力，投資機會稀缺，造成Fomo3D和POWH3D的山寨層出不窮，不過大都曇花一現。DailyDivs自9月2日上線以來交易量和交易金額穩步增長。研究人員深入研究合約代碼發現DailyDivs與之前的爆款游戲最大區別在于以下幾點：

1、買和賣的手續費分紅高達25%，相比POWH3D的10%提高了很多；

2、使用三層推薦體系，推薦費用分配比例為5:3:2；

3、DailyDivs是個游戲平臺并且公開合約代碼，但是實際進行的Earn Game和Lotto Game游戲合約代碼是沒有公開，RatingToken團隊提示玩家注意資金風險。詳情見原文鏈接。[2018/9/4]

諾貝爾經濟學家席勒：比特幣可能是又一次失敗的貨幣實驗:5月21日，諾貝爾經濟學獎獲得者、耶魯大學教授羅伯特·希勒（Robert Shiller）在新發布的一篇博客中表示，加密貨幣市場的出現正在模仿歷史上一些最失敗的貨幣實驗。他說盡管有人警告稱這可能是一個騙局，但人們對加密貨幣市場的熱情依然高漲。他說，人們必須記住，重塑貨幣的嘗試在歷史上一直都存在。然而，他補充說，盡管新的貨幣創新在開始時令人興奮，但它們未能持續下去。[2018/5/22]

圖片：鏈上消息提供賞金。來源：BscscanPalmswap 的官方 X 賬戶證實了其與黑客的談判已經開始。

圖片：Palmswap X 官方公告（來源：@Palmswaporg）攻擊過程漏洞利用交易：0x62dba55054fa628845fecded658ff5b1ec1c5823f1a5e0118601aa455a30eac9

用比特幣納稅！美國又一個州提交相關法案:近日，繼美國亞利桑那州比特幣納稅法案被參議院通過后，喬治亞州也有兩位州參議員提出用比特幣納稅的法案。據法案公開記錄顯示，這項措施如果落地，將調整州政府稅務部的規定，允許其接受以比特幣等加密貨幣支付政府稅款以及各類許可證的費用。[2018/2/24]

攻擊者：0xf84efa8a9f7e68855cf17eaac9c2f97a9d131366

受漏洞影響的合約：0xa68f4b2c69c7f991c3237ba9b678d75368ccff8f

1.攻擊者使用閃電貸借取了 3,000,000 USDT（價值 3,000,691.52 美元）。

2.通過函數 buyUSDP()，攻擊者將 1,000,000 USDT 與 Vault 交換，獲得了 996,769 Palm USD (USDP) 和 996,324 PALM LP (PLP)。隨后，攻擊者在質押 PLP 后獲得了 996,324 fee PALM LP (fPLP)。

3.攻擊者將剩余的 2,000,000 USDT 與 Vault 交換，得到 1,993,538 USDP，然后觸發了 removeLiquidity() 函數，該函數將前一步中得到的 fPLP 與 Vault 交換，得到 1,962,472 PLP，然后進一步交換為 1,956,585 USDT（價值 1,957,036.45 美元）。由于 PlpManager 合約中 USDP 計算錯誤，Vault 錯誤地將更多的 USDT 返還給了攻擊者。

圖片：plpmanager.sol 源代碼來源：BscScan4.在第 3 步中，1,953,430 USDP 被交換成了 1,947,570 USDT（價值 $1,948,019.41）。

5.攻擊者還清了通過閃電貸借入的最初 3,000,000 USDT，之后攻擊者的錢包中還剩下 $901,445。

在 2023 年，已經發生了 128 起閃電貸攻擊，相比之下，我們在 2022 年只記錄了 101 起。隨著攻擊者尋求從智能合約漏洞中獲取最大利潤，閃電貸攻擊在黑客中變得越來越受歡迎。

在此次事件發生時，閃電貸攻擊已經導致 2.55 億美元的損失，平均每起攻擊導致約為 200 萬美元的損失。在 7 月的前三周，我們已經記錄了 22 起閃電貸攻擊，造成共計 850 萬美元的損失。2023 年每個月的平均閃電貸攻擊次數為 18 次。目前，7 月的閃電貸事件數量正朝著創紀錄的方向發展。目前，它與 2023 年 2 月持平，該月份也有 22 起攻擊事件。

圖表：2023 年閃電貸攻擊導致的資金損失。數據來源：CertiK

圖表：2023 年各月份的閃電貸攻擊次數。數據來源：CertiK結論Palmswap 的閃電貸攻擊是 CertiK 在 7 月份檢測到的第二大惡意閃電貸攻擊，該月份總共損失了 580 萬美元。該攻擊在 2023 年的惡意閃電貸攻擊中排名第十。盡管 2023 年的閃電貸攻擊數量沒有減少，今年已經發生了 127 起，而 2022 年僅有 101 起，但當前損失的資金體量顯著降低。這其中可能有幾個原因。首先，2022 年上半年的市場條件導致被盜的資產在美元價值上更高。其次，由于閃電貸是一個相對較新的概念，用于防御這種攻擊的安全策略仍在開發中，這意味著持有大量資金的項目成為攻擊目標。2023 年的閃電貸攻擊數量證明了項目方需要強大的安全措施和第三方審計。

CertiK中文社區

企業專欄

閱讀更多

Foresight News

金色財經 Jason.

白話區塊鏈

金色早8點

LD Capital

-R3PO

MarsBit

深潮TechFlow

Tags：USDALMPALMPALbusd幣是什么幣Almace ShardsPALM價格PAL價格

幣贏交易所