北京时间6月23日,PeckShield「派盾」预警显示,BSC链上收益聚合器ElevenFinance中与Nerve相关的机池遭到闪电贷攻击。
PeckShield「派盾」通过追踪和分析发现,此次攻击源于ElevenFinance的Emergencyburn()计算余额错误,且未执行销毁机制,攻击者获利近460万美元。?
有趣的是,几个小时后,昨天刚从ImpossibleFinance薅得近50万美元的攻击者,利用ElevenFinance的漏洞,通过闪电贷攻击获利近52万美元。
中青宝区块链真面目:无厘头业务逻辑 实际控制人持续减持:3月31日消息,中青宝(300052)曾于3月27日发布了“2019年年度报告”。报告全文8次提及“区块链”,4次作为云计算的陪衬,4次和一个关联交易有关,但没有一次出现在公司的战略或者核心业务中,区块链业务是“边角料”的存在。但过去两年中青宝在区块链的业务的宣传方面,先后涉及到了区块链挖矿、数字货币、游戏、溯源、政务、研究、智能制造等,组合到一起俨然已经打造成区块链产业生态。中青宝也被市场视为区块链龙头,受到资本追捧。但实际经查,中青宝所谓自主研发数字货币矿机及区块链技术加持的游戏业务,两个项目运营状况均查不到任何资料,观察中青宝涉足的区块链业务,仿佛都是从天而降的,之间没有关联,技术没有传承,产品没有复制,运营没有下文,是否有用区块链都成问题,实为无厘头业务逻辑。此外,经查在过去一年,中青宝实际控制人李瑞杰和其控制的深圳宝德投资、宝德集团持续减持股份。(互链脉搏)[2020/3/31]
第一个攻击者创建了4个合约,进行了5次攻击。
独家 | 大山: 挖矿是能真正穿越牛熊的一种商业逻辑:在今晚由算力互联主办,金色财经独家支持直播的2020矿业新势力AMA上,针对“水滴资本在实际运作矿业基金以及进行矿业生态布局,这个过程中,有哪些心得体会或者感悟?”的问题,水滴资本联合创始人大山表示几个合伙人都是13年以前就接触BTC的,也见证了几轮牛熊了,但不知道大家发现了没有,很多圈子里曾经风光无限的人物都昙花一现消失匿迹了,而过了这些年下来留到现在的,大家调侃为大佬的人,或者行业头部的大公司,除了少数几家交易所外,大多跟矿业有关。这是因为挖矿是能真正穿越牛熊的一种商业逻辑。[2020/2/26]
PeckShield以合约0x8b29为例简述攻击过程:
声音 | 陈伟星:区块链最大的作用是改变印钞逻辑和信贷逻辑:泛城资本陈伟星今日发微博表示,区块链最大的作用是改变印钞逻辑和信贷逻辑,最大的障碍是人们对货币的意识形态,认为过度印货币就是政府的权力。但这种意识形态的认知是不科学的,因为政府权力的实质,是抽取高生产力的人的一部分财富,去协调低生产力的人的发展和保障。而印钞和信贷做的不好,是遏制生产力的,意味着政府权力的减少,反之如果有好的印钞和信贷方法,则能加速生产力的发展,意味着政府能力的提高。这个道理,通常也只会在现代法币体系和银行体系失败,大家才会真正理解。[2019/11/22]
首先,攻击者从PancakeSwap中借出953,869.6BUSD,并将其中340,631.2BUSD兑换474,387.75NRV;
随后,攻击者将474,378.75Nerve和366,962BUSD在PancakeSwap中添加流动性,获得411,515.3LPtoken;
攻击者将411,515.3LPtoken放入ElevenFinance中与Nerve相关的机池获得411,515.311nrvbusdLPtoken;
当攻击者提取PancakeLPtoken时,ElevenNeverSellVault中的Emergencyburn()函数本应销毁11nrvbusdLPtoken换回PancakeLPtoken,但Emergencyburn()并未执行burn这个动作,使得攻击者利用此逻辑错误获利。
该攻击者又创建了0x01ea合约,借出30.9BTCB;0xc0ef合约借出285.66ETH以及0x87E9借出两笔闪电贷2,411,889.87BUSD和7,693BUSD进行攻击。
攻击者通过利用集成的第三方合约功能进行攻击,这类问题较难检测到,例如,此前PeckShield「派盾」帮助RariCapital避免更大损失案例一样,在定位漏洞根源时,由于合约交互容易干扰安全人员的判断,PeckShield「派盾」建议,开发人员应谨慎与任意第三方协议进行交互。
DeFi协议开发人员在集成第三方协议并将其部署到生产运行之前,应充分了解合约及其分支项目的运行情况。DeFi协议开发人员应在项目上线前,先将其部署在测试网上进行测试并及时检查交易记录中的异常情况。
“太快了,攻击者从合约部署,到完成攻击,甚至到再次发起攻击,这一系列操作有时候快得让人有些反应不过来。”PeckShield「派盾」安全人员表示,“因此,事前审计,事中响应,事后提出及时有效的安全方案都是缺一不可的,谁都不知道攻击者会不会在下一秒发起攻击。”
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。