DeFi十月第一波黑客攻击:Autoshark 损失58万美元

火星财经 view 20229 2021-10-6 09:55
share to
Scan QR code with WeChat

10月2日消息,据PeckShield“派盾”官方推特消息,DeFI 协议AutoShark Finance遭

遇闪电贷攻击,其交换挖掘功能在-一系列交,易中被利用,由于矿池的流动性相对较低,黑客可以使用闪电贷占据矿池的大部分份额(以弥补交换损失/费用),同时仍然享受可观的“交换费用奖励”(从每次巨额交换中增加)。黑客重复上述步骤七次,获利318万FINS,之后立即将FINS交换为1,388 BNB (约合581,000美元)。

我的天哪,9月份就接连爆出来各种黑客攻击,这才10月份第二天啊,就开始黑客攻击了,看来黑客也不放假啊!

DeFi十月第一波黑客攻击:Autoshark 损失58万美元

慢雾五月回顾:AutoShark Finance 被黑分析

其实,此前报道,今年5月,PeckShield' 派盾”预警显示,BSC链_上DeFi协议AutoShark

Finance遭到闪电贷攻致使其币价闪崩,跌至0.01美元,跌幅达到99%以上。

我们借用慢雾技术团队的分析,大概是这样式儿的:

DeFi十月第一波黑客攻击:Autoshark 损失58万美元

黑客的准备工作:攻击者从 Pancake 的 WBNB/BUSD 交易对中借出大量 WBNB;

下一步,将第 1 步借出的全部 WBNB 中的一半通过 Panther 的 SHARK/WBNB 交易对兑换出大量的 SHARK,同时池中 WBNB 的数量增多;

下一步,将第 1 步和第 2 步的 WBNB 和 SHARK 打入到 SharkMinter 中,为后续攻击做准备;

下一步,调用 AutoShark 项目中的 WBNB/SHARK 策略池中的 getReward 函数,该函数会根据用户获利的资金从中抽出一部分手续费,作为贡献值给用户奖励 SHARK 代币,这部分操作在 SharkMinter 合约中进行操作;

下一步,SharkMinter 合约在收到用户收益的 LP 手续费之后,会将 LP 重新拆成对应的 WBNB 和 SHARK,重新加入到 Panther 的 WBNB/SHARK 交易池中;

下一步,由于第 3 步攻击者已经事先将对应的代币打入到 SharkMinter 合约中,SharkMinter 合约在移除流动性后再添加流动性的时候,使用的是 SharkMinter 合约本身的 WBNB 和 SHARK 余额进行添加,这部分余额包含攻击者在第 3 步打入 SharkMinter 的余额,导致最后合约获取的添加流动性的余额是错误的,也就是说 SharkMinter 合约误以为攻击者打入了巨量的手续费到合约中;

下一步,SharkMinter 合约在获取到手续费的数量后,会通过 tvlInWBNB 函数计算这部分手续费的价值,然后根据手续费的价值铸币 SHARK 代币给用户。但是在计算 LP 价值的时候,使用的是 Panther WBNB/SHARK 池的 WBNB 实时数量除以 LP 总量来计算 LP 能兑换多少 WBNB。但是由于在第 2 步中,Panther 池中 WBNB 的数量已经非常多,导致计算出来的 LP 的价值非常高;

下一步,在 LP 价值错误和手续费获取数量错误的情况下,SharkMinter 合约最后在计算攻击者的贡献的时候计算出了一个非常大的值,导致 SharkMinter 合约给攻击者铸出了大量的 SHARK 代币;

最后一步,攻击者后续通过卖出 SHARK 代币来换出 WBNB,偿还闪电贷。然后获利离开。

整个步骤看完,我有点脑壳疼。

DeFi十月第一波黑客攻击:Autoshark 损失58万美元

总之,黑客借币、调用函数、返回LP、获取数值、获得奖励,然后走人。

其实9月份的黑客攻击事件比8月份少一些,但数量仍不少。

九月发生20多起黑客攻击事件

其中在DeFIi领域就偶遇8起典型安全事件。

第一个,DeRace因DAO Maker分发系统被攻击,导致部分代币被黑客盗取并抛售。

第二个,NFT市场OpenSea的一个漏洞导致至少42个NFT被发送至一个销毁地址,价值至少10万美元。

第三个,Avalanche链上Zabu Finance官方表示,攻击者提取45亿ZABU代币,倾销获利约60万美元。

第四个,以太坊扩容网络Arbitrum因漏洞导致停机,已定位问题并修复。

第五个,SushiSwap平台MISO上的DONA代币拍卖遭到攻击,损失超300万美元。

第六个,跨链协议pNetwork因代码漏洞遭攻击,损失约 1308 万美元。

第七个,借贷协议Vee.Finance官方确认:超3500万美元资产被盗,稳定币未受影响。

第八个,比特币基金会网站bitcoin.org遭到黑客攻击,首页出现了“双倍返还比特币”骗局,攻击者窃取了1.7万多美元。

真是不数不知道,一数吓一跳,不过十分庆幸的是本人一个币都没得,善哉善哉!

DeFi十月第一波黑客攻击:Autoshark 损失58万美元

当DeFi沦为黑客的“提款机”,如何保证资产安全性?

这是所有区块链从业者都十分关心的问题,无论是项目方还是加密玩家,其实只关心两件事,如何赚钱和如何安全,如果合成一句话就是如何安全地赚钱!

DeFi十月第一波黑客攻击:Autoshark 损失58万美元

我们说DeFi的兴起,在于它的一些优势。去中心化金融能够从根本上改变金融体系,区块链技术和 DeFi 使系统更加值得信赖、更具成本效益和透明性,没有银行账户的人可以进入经济体系,为投资者开辟新的机会。

但是安全问题,是DeFi 目前遇到的最严峻的挑战,可能你会问,黑客为什么热衷于攻击 DeFi 项目?我也想知道啊!

截止到10月份,去中心化金融(DeFi)系统中的黑客攻击占 2021 年全球所有主要黑客攻击的近 76%。

许多 DeFi 项目可能会因为开发人员的代码漏洞而被黑客攻击,此外,其他网络犯罪分子可以通过快速贷款并操纵代币价格来破解 DeFi 协议。

你看,要么是自身专业度不够出现了漏洞,被钻了空子,要么是机制有问题又被钻了空子。

DeFi十月第一波黑客攻击:Autoshark 损失58万美元

Chainge钱包:守住加密用户的钱袋子

 Chainge采用了DCRM(分布式控制权管理)、TL(时间锁定)、QS(量子交换)、USAN(universal short account number 通用钱包和全球短帐号)、SCT (智能合约模板)等技术,Chainge把DeFi领域中具有显著优势和特点的项目整合进一个生态中。用户和投资者一进入Chainge的生态中,就像是进入到了一个自己的掌上银行一样,可以在Chainge中体验到安全稳定去、中心化的金融服务。

Chainge钱包的主要功能,就是在安全的状态下,让用户存储自己的加密资产和加密资产的跨链,同时加上DEX功能给有交易需求的用户使用。

黑客攻击最长用的方法还是:闪电贷攻击、合约业务漏洞攻击、重入攻击俗称黑客三大招。

DeFi十月第一波黑客攻击:Autoshark 损失58万美元

所以在安全方面,chainge采用了fusion技术,FUSION已实现并且发布了代码的独创DCRM核心技术,并完成了区块链史上第一笔分布式签名跨链交易!

FUSION此次在DCRM技术上的突破标志着金融衍生物分布式产生的新纪元,而在FUSION上为实现金融时间价值的Time Lock功能更是一个非常具有影响力的创新。

虽然,我也不知道fusion是啥技术,总之听起来就是很厉害就对了。

DeFi十月第一波黑客攻击:Autoshark 损失58万美元

微博:https://weibo.com/u/7533419377

公众号:Chainge_Finance_CN

听说牛又回来了???我赶紧看看我橙子钱包里面是不是又多了一些币。。。。。。

何出此言?因为我听说有大量的美团和饿了么骑手集体辞职。。。我忽然明白了什么。

btcfans公众号

Scan QR code with WeChat

Disclaimer:

Previous: 元宇宙的资本盛宴:Facebook、字节跳动为何下重注? Next: 扩容、开发者友好、易用性,什么才是公链的核心竞争力?

Related