2020年,闪电贷攻击频发,成为安全事故中的“新常态”。
2021年,对于黑客来说,闪电贷攻击看起来依旧是“盛宠不衰”。
北京时间2月9日,CertiK安全技术团队发现智能DeFi收益聚合器BT.Finance遭受黑客攻击。
BT.Finance已暂时停止了向Curve.fi存款,以防止再次被攻击。受攻击的策略包括ETH、USDC和USDT,其他策略不受影响。
BT.Finance表示,有用于保险和赔偿的管理资金,为了投资者和DeFi的良好发展,希望黑客能够将资金归还。
首发 | 火币集团全球业务副总裁:监管将决定区块链技术和加密货币的落地速度:1月21日,火币集团全球业务副总裁Ciara Sun在达沃斯世界经济论坛上表示,对区块链和数字货币的监管态度,2019年是重要的一年。在美国,到2019年底,针对加密货币和区块链政策有21项法案,这些法案包括税收问题,监管结构,跟踪功能和ETF批准,哪些联邦机构监管数字资产等。欧盟(EU)在2020年1月10日实施了一项新法律,要求加密货币平台采取更严格的反做法。瑞士,日本,立陶宛,马耳他和墨西哥通过法律,要求交易所必须根据KYC和AML准则获得许可。中国,土耳其,泰国等国家正在计划自己的中央银行数字货币(CBDC)。而监管将决定区块链技术和加密货币的落地速度。[2020/1/22]
此外,BT.Finance提款费用保护使这次攻击的损失减少了近14万美元。ICOAnalytics对此表示,受影响资金约为150万美元。
公告 | 火币全球站6月29日16:00全球首发 Project PAI:火币全球站定于新加坡时间6月29日16:00 Project PAI (PAI) 充值业务。7月2日16:00在创新区开放PAI/BTC, PAI/ETH交易。7月6日16:00开放 PAI提现业务。[2018/6/29]
CertiK安全技术团队立即展开分析,现将攻击流程细节分析如下:
攻击者首先从dydx中使用闪电贷借出约100000个ETH。
IMEOS首发 BM表示EOS合约具有整数溢出保护:据金色财经合作媒体IMEOS报道:近日ETH出现多个ERC20智能合约的处理溢出错误,BM在推特上发表评论:新的ETH契约Bug可能会破坏整个Token的供应,让持有者留下无价值Token.这就算为什么代码不能成为法律,随即表示EOS erc合约不容易受到这种攻击。而EOS官方群也有人表示担忧EOS是否具有整数溢出保护?BM回应:有很多C ++模板类可以封装类型并检查溢出。[2018/4/25]
攻击者将大约57000个ETH存到CurvesETH池中。
攻击者从CurvesETH池中取出sETH,由于存入了大量的ETH,导致sETH的价格上升,此时攻击者取出了约35000个sETH。
攻击者将大约4340个ETH存入bt.financeETH策略池中。
攻击者调用earn函数。
攻击者将步骤3中取出的sETH全部存入CurvesETH池中并取出ETH,最后触发bt.financeETH策略池的withdraw函数,取出全部存入该池中的ETH。
重复上述2-5步骤5次,并归还闪电贷,完成获利。?
攻击者单次攻击进行的交易
攻击者进行了五次相同的攻击
安全建议
高收益必定伴随着高风险。
区块链的每一个应用版块几乎都包含了智能合约,而针对底层代码和设计模式的安全审计是保护项目的首要之事。
CertiK再次建议项目方注意规避风险,投资者在投资前认准项目是否具备完整的安全审查及后续的安全保障。
截止到2020年底,CertiK已经进行了超过369次的安全审计,审计了超过198,000行代码,并保护了价值超过100亿美元的加密资产。
参考链接
https://ethtx.info/mainnet/0xc71cea6fa00d11e98f6733ee8740f239cb37b11dec29e7cf85d7a4077977fa65
https://twitter.com/doug_storming/status/1358896348276391939?s=20?
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。