北京时间6月23日,PeckShield「派盾」预警显示,BSC链上收益聚合器ElevenFinance中与Nerve相关的机池遭到闪电贷攻击。
PeckShield「派盾」通过追踪和分析发现,此次攻击源于ElevenFinance的Emergencyburn()计算余额错误,且未执行销毁机制,攻击者获利近460万美元。?
有趣的是,几个小时后,昨天刚从ImpossibleFinance薅得近50万美元的攻击者,利用ElevenFinance的漏洞,通过闪电贷攻击获利近52万美元。
律师:目前对虚拟货币监管逻辑或已过时:据证券时报5月24日消息,方达律师事务所资深律师汪灵罡认为,境内虚拟货币交易市场极小,国内通过虚拟货币来的资金规模,与通过其他手法的相比,交易量沧海一粟,不值一提。不过,在汪灵罡看来,对于虚拟货币这种互联网时代的资产,目前的监管逻辑或已过时。他说,“银行不是公检法司,没有执法手段,通过可疑交易检测,只能偶尔识别出虚拟货币相关交易资金流,不可能监测出全部。”[2021/5/24 22:36:29]
第一个攻击者创建了4个合约,进行了5次攻击。
布林带指标创建者:目前比特币价格在43000美元左右符合逻辑:金色财经报道,布林带指标的创建者John Bollinger发推表示,目前比特币价格在43000美元左右是符合逻辑的水平,它是由1月份的峰值和3月份的低谷定义的。[2021/5/19 22:17:05]
PeckShield以合约0x8b29为例简述攻击过程:
首先,攻击者从PancakeSwap中借出953,869.6BUSD,并将其中340,631.2BUSD兑换474,387.75NRV;
分析 | 多重利空促使BTC大幅下跌 但牛市基本逻辑不变:通证通研究院发布《单日下跌25%,牛市是否终结?——区块链周报0630》,报告认为,本轮下跌主要受到以下几方面因素影响:(1)套牢盘抛售叠加获利盘回吐;(2)技术层面价格有回调需求;(3)短期利好出尽。多重利空促使BTC大幅下跌,但牛市基本逻辑不变。一方面牛市行情中的调整不可避免,另一方面短期利空因素的影响相对有限,没有改变本轮牛市的基本逻辑,风险充分释放反而有利于长期行情的进一步发展。行情方面,BTC领涨,冲高回落。本周数字通证总市值为3486.9亿美元,上升12.9%;日均成交量为963.7亿美元,上升59.1%;日均换手率为28.5%,上升7.5%。[2019/7/1]
随后,攻击者将474,378.75Nerve和366,962BUSD在PancakeSwap中添加流动性,获得411,515.3LPtoken;
攻击者将411,515.3LPtoken放入ElevenFinance中与Nerve相关的机池获得411,515.311nrvbusdLPtoken;
当攻击者提取PancakeLPtoken时,ElevenNeverSellVault中的Emergencyburn()函数本应销毁11nrvbusdLPtoken换回PancakeLPtoken,但Emergencyburn()并未执行burn这个动作,使得攻击者利用此逻辑错误获利。
该攻击者又创建了0x01ea合约,借出30.9BTCB;0xc0ef合约借出285.66ETH以及0x87E9借出两笔闪电贷2,411,889.87BUSD和7,693BUSD进行攻击。
攻击者通过利用集成的第三方合约功能进行攻击,这类问题较难检测到,例如,此前PeckShield「派盾」帮助RariCapital避免更大损失案例一样,在定位漏洞根源时,由于合约交互容易干扰安全人员的判断,PeckShield「派盾」建议,开发人员应谨慎与任意第三方协议进行交互。
DeFi协议开发人员在集成第三方协议并将其部署到生产运行之前,应充分了解合约及其分支项目的运行情况。DeFi协议开发人员应在项目上线前,先将其部署在测试网上进行测试并及时检查交易记录中的异常情况。
“太快了,攻击者从合约部署,到完成攻击,甚至到再次发起攻击,这一系列操作有时候快得让人有些反应不过来。”PeckShield「派盾」安全人员表示,“因此,事前审计,事中响应,事后提出及时有效的安全方案都是缺一不可的,谁都不知道攻击者会不会在下一秒发起攻击。”
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。