一个“聪明的”交易者通过去中心化金融领域的各种协议,净赚了35万美元的巨额收益。
一套聪明的指令——所有指令都在一笔大额交易中执行——使某些人能够利用DeFi生态系统当前的弱点来获利。通过使用一些去中心化的金融工具和少量的价格操纵,他们能够获得大量的以太坊。
DeFi投资公司StakeCapital的创始人JulienBouteloup说明了这个多层次的交易是多么复杂。他大致描述了所发生的事情。
Harmony Bridge攻击者今天转移约150万美元资金:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,2023年2月14日,Harmony Bridge攻击者正在持续转移被盗资产,今日共转移了997余个ETH,价值约150万美元。
此前消息,2022年6月24日,Harmony开发的以太坊与Harmony间的资产跨链桥Horizon遭到攻击,损失金额约为1亿美元。[2023/2/14 12:06:15]
他指出,1万以太坊的闪电贷可能是问题所在。其中一半资金进入了借贷平台Compound,用于wrappedBTC(以太坊上的比特币)。剩下的是做空的抵押品——认为价格会下跌——即wBTC在保证金交易平台Fulcrum上的交易。该账户随后将wBTC出售给了去中心化交易所Uniswap。价格下跌了,于是黑客套现获利,偿还了最初的贷款。
Wormhole攻击者将转移的290万枚USDC兑换为1888 ETH:1月15日消息,据派盾监测数据,Wormhole攻击者地址已将大约290万枚USDC转移到中间地址0x8184...f51,并在Curve Finance: SynthSwap & 1inch上将这些USDC兑换为1,888 ETH。
据此前报道,MistTrack监测数据显示,Wormhole攻击者将290万枚USDC桥接至以太坊上一个新钱包地址,初始Gas费来自此前标记的攻击者钱包地址。据悉,2022年2月,跨链协议Wormhole遭攻击被盗12万枚wETH,损失约合3.2亿美元。[2023/1/15 11:13:01]
但是,这个黑客告诉了人们各种DeFi工具如何一起使用,以获得不道德的利润,他或她还强调了这些DeFi工具的中心化程度。
分析 | 攻击者控制了 GateHub 数据库里的部分账号 API 权限,不过用户私钥是安全的:慢雾安全团队通过链上行为分析可以得知:攻击者最早于 05/29/2019 12:14 UTC 时间通过 CoinPayments 创建并激活了攻击者的第一个“攻击者账号”(rN5Gm1FijbTVeYFfpTRfGKfNZQY7hc9TbN),攻击者在 05/30/2019 12:23 UTC 时间攻击 GateHub 第一个账号(控制了这个账号的有关权限),并通过这个被攻击的账号创建并激活了第二个“攻击者账号”(r9do2Ar8k64NxgLD6oJoywaxQhUS57Ck8k),之后第二个“攻击者账号”还创建并激活了第三个“攻击者账号”(rpBDxqWArAQTEfPeWwkUvBh1cbc885nirX),之后攻击者攻击了 GateHub 至少 103 个账号,最后一次攻击时间是 06/01/2019 18:40 UTC 时间,并通过这三个“攻击者账号”完成洗币操作。慢雾安全团队通过相关分析推测攻击者至少是控制了 GateHub 数据库里的部分账号 API 权限,不过用户私钥是安全的。攻击持续三天多的时间才被阻止,该平台的用户应立即转移资产并更新账号相关权限。[2019/6/8]
Fulcrum使用“管理密钥”
昨天,维护Fulcrum协议的bZx发布了最新情况。该公司声称,其平台上的用户无一损失。
“用户损失的资金为零。针对我们协议的攻击昨晚出现了大量的报道。从协议的角度来看,有人只是借了一笔钱。从贷款人的角度来看,这笔贷款和其他贷款一样。”
该平台还表示,攻击者在交易所留下了60万美元的wBTC。他们计划把这些钱分发给交易所的其他用户。
但是,要做到这一点,平台需要使用它的“管理密钥”。
“目前攻击者留下了60万wBTC抵押品。我们将利用这些资金向现有的iETH持有者提供利息和流动性。这将通过我们的管理密钥完成。这对我们来说是一个非常困难的决定,我们不能掉以轻心。”
从本质上讲,这个管理密钥很难嵌入到协议中,其允许bZx在不得已的情况下控制任何智能合约。管理密钥的目的正是为了某些情况,即系统出现了问题,同时其中包含了大量的资金。
但是,管理密钥证明了中心故障点的存在,用户必须信任交易背后的团队,相信他们不会偷走所有人的钱。考虑到DeFi的目标就是消除这种信任,这似乎是一个相当大的弱点。
DeFi协议希望有一个安全保障机制,这并不奇怪。以太坊最大的实验项目——TheDAO——曾经持有14%的以太坊——由于代码错误而失败了。结果,整个以太坊区块链被重写,这样每个人都能拿回他们的钱。但此举破坏了网络,招致了很多批评。
这一次,Fulcrum将使用它的管理密钥来节省时间,但是,此举彻底暴露了其中心化的本质,它产生的问题比答案更多。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。