继6月29日凌晨2点CertiK捕获Balancer攻击事件后《空手套以太:Balancer攻击解析》, 北京时间6月29日下午8点整与11点23分,CertiK天网系统(Skynet) 再次检查到两起类似原理的Balancer DeFi合约异常,两起异常分别发生在区块数10360609与区块数10361515。与29日单纯利用合约漏洞的攻击不同,这次黑客巧妙利用了Compund金融模型,无中生有了大量COMP代币。明星DeFi项目,一日内连遭三次攻击,让支持者不禁担忧起整个DeFi市场的未来。
天网扫描
事件概述
6月29日,攻击者从dYdX闪电贷中借到代币并铸币后,通过uniswap闪贷获得cWBTC和cBAT代币,然后将借得的代币在Balancer代币池中大量交易,从而触发Compound协议的空投机制,获得空投的COMP代币,再使用Balancer有漏洞的gulp()函数更新代币池数量后,取走所有代币并归还闪电贷。攻击者相当于利用了Compound协议的金融模型、闪电贷和Balancer代码漏洞,无中生有了COMP,总获利约为11.5ETH。
BALD流动性池仅剩6枚ETH,项目方移除了374枚ETH:7月31日消息, 行情显示,BALD流动性池仅剩6枚ETH,项目方再次从流动性池中移除374枚ETH。[2023/7/31 16:09:35]
CertiK攻击者心理画像
6月29日下午8点与11点的两起攻击使用了相同的手法并且使用了同一个收款地址,确认为一个团队。虽然这两次攻击与29日凌晨2点的攻击均利用了Balancer合约的gulp(),但是攻击手段不同,后两次攻击利用了Compound的金融模型的漏洞而不是单纯的代码漏洞。另外,后两次攻击的获利远小于首次攻击获利,实施首次攻击的黑客没有再次攻击的动机。
CertiK判断后两次攻击是在首次攻击14小时后,利用类似原理实施的模仿攻击。
DeFi安全新挑战
加密交易平台Liquid Global暂停所有交易:11月20日消息,加密交易平台Liquid Global表示,因为特拉华州法院实施了第11章程序,我们已收到FTX Trading代理Sullivan&Cromwell的指示,暂停我们交易所的所有形式的交易。我们正在处理这些问题,并将努力在适当的时候提供更全面的更新。
据悉,Sullivan&Cromwell被提名为在破产程序中为FTX提供咨询的律师事务所之一。此前,Liquid Global已先后暂停提款和存款。
此前2021年8月26日消息,加密货币交易所Liquid Global从FTX获得了1.2亿美元的贷款。此前Liquid热钱包遭到攻击,损失超9000万美元。[2022/11/21 7:50:38]
这次的攻击事件主要利用了金融模型设计上的漏洞,而不是代码层面的漏洞。这种由DeFi市场孕育出的新型攻击模式,让大部分区块链安全公司仅有的“代码审计”服务变得毫无用处。
只针对代码层面而不能对抽象模型进行分析的、传统的安全技术完全应对不了DeFi带来的新挑战。而没有模型层面保护的DeFi,只能沦为熟知DeFi金融模型的黑客的提款机。
Serum社区基金会完成7500万美元融资,Tiger Global等参投:1 月 9 日,由社区主导的 Project Serum 基金会通过 Token 销售完成 7500 万美元融资,Tiger Global、Commonwealth Asset Management、Tagus Capital、Golden Tree Asset Management 的高管以及其他几家投资者参与了这轮融资。
Project Serum 的贡献者 JHL 表示,本轮 Token 融资让投资者以低于市场价格 15% 的折扣获得了一系列不同的 Token。这些 Token 是 Serum (SRM)、Solana (SOL)、Raydium (RAY)、Bonfida (FIDA)、Oxygen (OXY)、Maps.me (MAPS) 和 Liquid Finance (LQID),都是 Solana 和 Serum 生态系统的一部分。投资者还将面临 6 年的锁定期,即 1 年的锁定期和 5 年的线性释放。
此外 JHL 还表示,该轮融资仍在进行中,Project Serum 基金会计划再筹集 2500 万美元。该基金会计划利用新的资金的 15% 来发展 Serum 生态系统,其余资金将用于 Project Serum 的增长计划,例如举办黑客马拉松和招聘等。(The Block )[2022/1/9 8:36:27]
DeFi安全预警是弊大于利吗?
BKEX Global将于今日18:30上线LBA:据BKEX Global公告,BKEX Global将于2020年8月28日18:30(UTC+8)上线LBA(Cred),开放交易对:LBA/USDT。
Cred是一个基于区块链和加密数字货币的金融生态系统,帮助全球的加密数字货币用户随时随地高效地享受各类金融服务,比如理财CredEarn和借贷CredBorrow。[2020/8/28]
这次的模仿攻击,让很多人对区块链安全公司产生了质疑:安全公司的分析文章会不会教会更多人攻击的方法?为什么各种安全预警没有改善安全环境?我们真的还需要安全预警吗?
CertiK的观点是,不仅需要安全预警,还要做到更快更深入!
不同于传统软件系统,区块链所有的交易、所有的合约调用都是公开透明的。攻击事件发生后,区块链上的交易记录对于黑客而言就是最直白的教科书,区块链安全公司要抢在模仿攻击之前发布预警,保护相关公司。但是最近频繁的攻击事件,再一次证明安全预警是远远不够的,并不能改变当前DeFi乃至整个区块链的安全现状。
DeFi安全还有机会吗?
为了根本性改变DeFi的安全现状,我们必须针对新型智能合约(比如DeFi、IoT) 引入全新的安全机制。
火币BAL、REN、MKR、IOST和JST永续合约已正式上线:据火币官方消息,火币BAL(Balancer)、REN(Republic Protocol)、MKR(Maker)、IOST(IOST)和JST(JUST)永续合约已于新加坡时间8月19日16点正式上线。用户现可在平台进行划转、交易等操作。
在五大币种上线前,火币合约已向其永续合约风险准备金余额中分别注入5,000个BAL、342,000个REN 、130个MKR、15,873,000个IOST和1,300,000个JST。此次五币种完成上线后,火币永续合约已覆盖包括主流币种和热门DeFi币种在内共三十二个币种,支持用户在Web端、API端和APP端操作,最高125x倍数。其中BTC、ETH、LTC支持实时结算功能,已实现盈利部分(扣除掉浮动亏损和占用保证金等)可随时提取。更多详情请查看火币合约官网公告。[2020/8/19]
这种安全机制必须要能进行模型层的分析,必须能够适应新型合约的发展,尽量做到在攻击时拦截,而非在攻击后预警。CertiK团队正在研发基于CertiK Chain的新型安全DeFi机制 —— CeDeFi (Certified DeFi)—— 即可信DeFi,相信可以在未来彻底改变当前被动的安全现状。
攻击还原
以下午11点对Balancer的攻击为例:
步骤1:从dYdX处通过闪电贷形式借得WETH、DAI和USDC三种代币,数额分别是103067.20640667767、5410318.972365872和5737595.813492。
步骤2:使用步骤1中得到的代币,对三种代币 (cETH、cDAI和cUSDC) 进行铸币操作 (mint)。
步骤3:使用uniswap通过闪电贷形式,借得 (borrow) 并铸造 (mint) cWBTC,cBAT代币。
步骤4:携带获得的cWBTC与cBAT加入代币池,此时攻击者拥有的cWBTC和cBAT的数目分别为4955.85562685和55144155.96523628。
步骤5:分别用cWBTC和cBAT在该代币池中进行大量的交易,从而触发Airdrop操作,将无归属的COMP分发到该代币池中。
步骤6:调用gulp()函数将当前的COMP数目同步到Balancer智能合约中,并将cWBTC、cBAT以及额外被加入代币池中的COMP取出。退出代币池时,攻击者拥有的cWBTC和cBAT的数目同样为4955.85562685和55144155.96523628。但是由于在代币池中通过大量交易产生的额外COMP,攻击者获得了额外的COMP代币。 此处攻击者还可以选择直接进入其他代币池中,复用步骤1到步骤6的攻击方法,获得额外COMP代币。
步骤7:偿还uniswap和dYdX的闪电贷,离场。
步骤8:攻击者仍旧可以采用同样的方法(步骤1到步骤7),对其他代币池发动攻击。攻击的机制类似,但是通过闪电贷借得和用来进行攻击的代币种类略有不同。
参考链接:
新闻:
https://cointelegraph.com/news/hacker-steals-balancers-comp-allowance-in-second-attack-within-24-hours
中文新闻:
https://www.chaindd.com/3330102.html
原始分析:
https://twitter.com/frenzy_hao/status/1277597671847411712
29日下午8点攻击交易历史记录:
https://ethtx.info/mainnet/0xa519835c366bc77d93c9d3e433e653bfc46120688ad146b383f4dd93342cad29
29日下午11点攻击交易历史记录:
https://ethtx.info/mainnet/0x70959fef9d7cc4643a0e885f66ec21732e9243ffd3773e4a9ea9b5ab669bab4d
了解更多
General Information: info@certik.org
Audit & Partnerships: bd@certik.org
Website: certik.org
Twitter: @certik.org
Telegram: t.me/certik.org
Medium:medium.com/certik
币乎:bihu.com/people/1093109
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。