一文盘点近两周Flashloan漏洞案例_SHARK:SHAKE

据2021年5月的CipherTrace报告指出:截止至2021年4月底,加密领域的盗窃、黑客攻击和金额达到4.32亿美元,而Defi黑客攻击案例占所有黑客攻击的60%以上,这个数据高于2020年的25%。下图可以很明显的看出DeFi黑客攻击案例逐年增加,2021年Q2被盗金额约1.3亿美元。

在众多DeFi黑客攻击案例中,Flashloan无疑是最常发生的一种黑客攻击类型。Flashloan是一种无抵押、无担保的贷款,可以在短期时间内提供大量资金,它贷款的智能合约必须在其出借的同一交易中完成,因此借款人必须使用其他智能合约从而帮助他在交易结束前与贷款资金进行即时交易。而这就导致了黑客可以利用代码的漏洞,操纵定价并从中获利。我们盘点了近两周FlashLoan黑客攻击的案例:1.PancakeBunnyBSC生态5月19日PancakeBunny遭到来自外部开发人员的闪电贷攻击,黑客使用PancakeSwap借入了大量BNB,之后继续操纵USDT/BNB以及BUNNY/BNB价格,从而获得大量BUNNY并进行抛售,导致BUNNY价格闪崩,最后黑客通过PancakeSwap换回BNB。此次闪电贷攻击,预计损失114,631.5421WBNB和697,245.5699BUNNY,合计约4500万美元。代币BUNNY的价格一度跌破2美元,最高跌幅一度超99%。2.BoggedFinanceBSC生态5月22日黑客对BOG代币合约质押功能漏洞进行了闪电贷攻击。该漏洞被设计为通过收取转账金额的5%来通缩。具体来说,在这5%的收费中,1%被销毁,4%作为质押利润的费用。但是,代币合约的实施只收取转账金额的1%,但仍然虚增4%作为质押利润。结果,攻击者可以利用借贷来显著增加质押金额,并反复进行自动转账以索取虚增的质押利润。之后,攻击者立即出售膨胀的BOG以获得约360万美元的WBNB。3.AutoSharkBSC生态5月24日AutoShark遭到闪电贷攻击,据慢雾分析:1).攻击者从Pancake的WBNB/BUSD交易对中借出大量WBNB;2).将第1步借出的全部WBNB中的一半通过Panther的SHARK/WBNB交易对兑换出大量的SHARK,同时池中WBNB的数量增多;3).将第1步和第2步的WBNB和SHARK打入到SharkMinter中,为后续攻击做准备;4).调用AutoShark项目中的WBNB/SHARK策略池中的getReward函数,该函数会根据用户获利的资金从中抽出一部分手续费,作为贡献值给用户奖励SHARK代币,这部分操作在SharkMinter合约中进行操作;5).SharkMinter合约在收到用户收益的LP手续费之后,会将LP重新拆成对应的WBNB和SHARK,重新加入到Panther的WBNB/SHARK交易池中;6).由于第3步攻击者已经事先将对应的代币打入到SharkMinter合约中,SharkMinter合约在移除流动性后再添加流动性的时候,使用的是SharkMinter合约本身的WBNB和SHARK余额进行添加,这部分余额包含攻击者在第3步打入SharkMinter的余额,导致最后合约获取的添加流动性的余额是错误的,也就是说SharkMinter合约误以为攻击者打入了巨量的手续费到合约中;7).SharkMinter合约在获取到手续费的数量后,会通过tvlInWBNB函数计算这部分手续费的价值,然后根据手续费的价值铸币SHARK代币给用户。但是在计算LP价值的时候,使用的是PantherWBNB/SHARK池的WBNB实时数量除以LP总量来计算LP能兑换多少WBNB。但是由于在第2步中,Panther池中WBNB的数量已经非常多,导致计算出来的LP的价值非常高;8).在LP价值错误和手续费获取数量错误的情况下,SharkMinter合约最后在计算攻击者的贡献的时候计算出了一个非常大的值,导致SharkMinter合约给攻击者铸出了大量的SHARK代币;9).攻击者后续通过卖出SHARK代币来换出WBNB,偿还闪电贷。然后获利离开。此次事件致使AutoShark币价闪崩,跌至0.01美元,跌幅达到99%以上。4.MerlinLabsBSC生态5月26日,DeFi收益聚合器MerlinLabs遭到攻击,此次攻击手法与PancakeBunny的攻击手段相似,损失200ETH。5.JulSwapBSC生态5月27日DEX协议、自动化流动性协议JulSwap遭到闪电贷攻击,$JULB短时跌幅逾95%。6.BurgerSwapBSC生态自动做市商BurgerSwap疑似遭遇闪电贷攻击,被盗超过432,874个Burger,约330万美元。攻击者已通过1inch获利变现。有投资者损失了近97%。7.BeltFinanceBSC生态5月29日BeltFinance遭遇闪电贷攻击。攻击者利用闪电贷,通过8笔交易从BeltFinance协议中获得超过620万美元资金,并将大部分资金转换成anyETH并提取到以太坊。此次损失620万美元。以上遭到黑客攻击的项目都有一个相同点就是它们都属于BSC生态。自5月份以来,BSC生态项目连续遭到闪电贷攻击,总共损失已超1.57亿美金。巨大的损失金额也给开发者敲响了警钟:闪贷是开发人员在创建智能合约时必须考虑的事情。DeFi一直被认为是未来金融新范式,它的出现也让我们能够参与到全新的金融交易中。但是,由于技术堆栈的复杂性,某些功能可能会在系统的完全不相关的部分中被滥用,进而造成巨大的损失,这不仅损害了投资者的利益,也给项目、行业蒙上了污点,让圈外人望而却步。

香港教资会推出1亿港元创新科技教育基金,拟支持Web3和生成式AI等领域教学:6月29日消息,香港大学教育资助委员会推出创新科技教育基金(FITE)并拨款一亿港元,鼓励八家受资助大学用创新科技推动教学革新,支持大学在生成式人工智能、Web3和数字能力等技术领域教学方面的实验和探索性努力,推动相关技术在经济结构调整中发挥作用。[2023/6/29 22:07:08]

Karate Combat完成1800万美元融资用于加密驱动的武术:4月19日消息,空手道格斗应用程序Karate Combat完成1800万美元融资用于加密驱动的武术。加入基金领导 Bitkraft Ventures 的投资者包括 Delphi Digital、The Operating Group、Alpha Wave Global、Hashkey、RooxieXBT 等。空手道格斗联赛由HBAR 基金会赞助,该基金会支持 Hedera 生态系统和Hedera Hashgraph网络。[2023/4/19 14:14:13]

欧洲央行执行董事会成员建议为数字欧元设置个人交易限额和储值上限:11月7日消息,欧洲央行(ECB)执行董事会成员Fabio Panetta在欧盟委员会主办“实现数字欧元的立法框架“的会议上建议为数字欧元设置个人交易和储值限制。目前,确切的限额并没有确定下来,数字欧元项目在欧洲央行内部仍处于调查阶段,但Panetta提到了3000欧元作为价值储存限额的例子,以及1000次交易作为每月限额。欧洲央行预计将在2023年9月前决定是否推进实现阶段的工作。[2022/11/7 12:28:17]

区块链协会执行董事:美国国会或在年底前签署《数字商品消费者保护法》:10月23日消息,区块链协会执行董事克里斯汀·史密斯(Kristin Smith)在接受采访时透露,美国会或在今年年底前签署《数字商品消费者保护法》。克里斯汀·史密斯表示,“美国国会正在积极制定立法,为基础数字商品现货市场提供额外的监管,包括比特币现货市场,《数字商品消费者保护法》(DCCPA)很有可能在今年年底前完成。这是一个很好的监管现货市场中心化交易所的框架,去中心化金融存在一些悬而未决的问题,也是与托管中心化交易所完全不同的软件协议。我很乐观,我们会在国会达成一个好的解决方案,很有可能在今年年底之前看到立法签署成为法律。”

此外,克里斯汀·史密斯认为当前散户投资者已基本退出比特币投资,而期投资者正在稳定当前比特币价格。

据此前报道,美国CFTC关于监管加密行业的《数字商品消费者保护法》(DCCPA)的新草案已被上传至GitHub,软件开发者不会被视为经纪人。(The Daily Hodl)[2022/10/23 16:36:06]

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

Luna万字深度解析NFT借贷市场_NFT:NFTfi

目录DeFi和NFT的碰撞之旅为什么需要NFT借贷市场-发挥闲置资产的作用-进一步明确NFT估值-提供流动性NFT借贷三大模式-为获利而借出-为收购NFT而借出-为提供帮助而借出同质化代币借贷v.

[0:15ms0-0:699ms