币非凡 - 区块链|交易所导航 www.bifeifan.com
当前位置:网站首页 > 新闻 > 正文

一文盘点近两周Flashloan漏洞案例

admin 2021-06-03 1052 浏览

据2021年5月的CipherTrace报告指出:截止至2021年4月底,加密领域的盗窃、黑客攻击和诈骗金额达到4.32亿美元,而DeFi黑客攻击案例占所有黑客攻击的60%以上,这个数据高于2020年的25%。下图可以很明显的看出DeFi黑客攻击案例逐年增加,2021年Q2被盗金额约1.3亿美元。

一文盘点近两周Flashloan漏洞案例 Flashloan 案例 漏洞 两周 一文 GMC官网 GMC GMC减半时间 新闻  第1张

在众多DeFi黑客攻击案例中,Flashloan无疑是最常发生的一种黑客攻击类型。Flashloan是一种无抵押、无担保的贷款,可以在短期时间内提供大量资金,它贷款的智能合约必须在其出借的同一交易中完成,因此借款人必须使用其他智能合约从而帮助他在交易结束前与贷款资金进行即时交易。而这就导致了黑客可以利用代码的漏洞,操纵定价并从中获利。

我们盘点了近两周Flash Loan黑客攻击的案例:

1.PancakeBunny BSC生态

5月19日PancakeBunny遭到来自外部开发人员的闪电贷攻击,黑客使用PancakeSwap借入了大量BNB,之后继续操纵USDT/BNB以及BUNNY/BNB价格,从而获得大量BUNNY并进行抛售,导致BUNNY价格闪崩,最后黑客通过PancakeSwap换回BNB。此次闪电贷攻击,预计损失114,631.5421WBNB和697,245.5699BUNNY,合计约4500万美元代币BUNNY的价格一度跌破2美元,最高跌幅一度超99%。

2.Bogged Finance   BSC生态

5月22日黑客对 BOG 代币合约质押功能漏洞进行了闪电贷攻击。该漏洞被设计为通过收取转账金额的5%来通缩。具体来说,在这5%的收费中,1%被销毁,4%作为质押利润的费用。但是,代币合约的实施只收取转账金额的1%,但仍然虚增4%作为质押利润。结果,攻击者可以利用借贷来显著增加质押金额,并反复进行自动转账以索取虚增的质押利润。之后,攻击者立即出售膨胀的BOG以获得约360万美元的WBNB。

3.AutoShark BSC生态

5月24日AutoShark遭到闪电贷攻击,据慢雾分析:

1). 攻击者从 Pancake 的 WBNB/BUSD 交易对中借出大量 WBNB;

2). 将第 1 步借出的全部 WBNB 中的一半通过 Panther 的 SHARK/WBNB 交易对兑换出大量的 SHARK,同时池中 WBNB 的数量增多;

3). 将第 1 步和第 2 步的 WBNB 和 SHARK 打入到 SharkMinter 中,为后续攻击做准备;

4). 调用 AutoShark 项目中的 WBNB/SHARK 策略池中的 getReward 函数,该函数会根据用户获利的资金从中抽出一部分手续费,作为贡献值给用户奖励 SHARK 代币,这部分操作在 SharkMinter 合约中进行操作;

5). SharkMinter 合约在收到用户收益的 LP 手续费之后,会将 LP 重新拆成对应的 WBNB 和 SHARK,重新加入到 Panther 的 WBNB/SHARK 交易池中;

6). 由于第 3 步攻击者已经事先将对应的代币打入到 SharkMinter 合约中,SharkMinter 合约在移除流动性后再添加流动性的时候,使用的是 SharkMinter 合约本身的 WBNB 和 SHARK 余额进行添加,这部分余额包含攻击者在第 3 步打入 SharkMinter 的余额,导致最后合约获取的添加流动性的余额是错误的,也就是说 SharkMinter 合约误以为攻击者打入了巨量的手续费到合约中;

7). SharkMinter 合约在获取到手续费的数量后,会通过 tvlInWBNB 函数计算这部分手续费的价值,然后根据手续费的价值铸币 SHARK 代币给用户。但是在计算 LP 价值的时候,使用的是 Panther WBNB/SHARK 池的 WBNB 实时数量除以 LP 总量来计算 LP 能兑换多少 WBNB。但是由于在第 2 步中,Panther 池中 WBNB 的数量已经非常多,导致计算出来的 LP 的价值非常高;

8). 在 LP 价值错误和手续费获取数量错误的情况下,SharkMinter 合约最后在计算攻击者的贡献的时候计算出了一个非常大的值,导致 SharkMinter 合约给攻击者铸出了大量的 SHARK 代币;

9). 攻击者后续通过卖出 SHARK 代币来换出 WBNB,偿还闪电贷。然后获利离开。

此次事件致使AutoShark币价闪崩,跌至0.01美元,跌幅达到 99% 以上。

4.MerlinLabs BSC生态

5月26日,DeFi收益聚合器MerlinLabs遭到攻击,此次攻击手法与PancakeBunny的攻击手段相似,损失200ETH。

5.JulSwap BSC生态

5月27日DEX协议、自动化流动性协议JulSwap遭到闪电贷攻击,$JULB短时跌幅逾95%。

6.BurgerSwap BSC生态

自动做市商BurgerSwap疑似遭遇闪电贷攻击,被盗超过432,874个Burger,约330万美元。攻击者已通过1inch获利变现。有投资者损失了近97%。

7.Belt Finance BSC生态

5月29日Belt Finance 遭遇闪电贷攻击。攻击者利用闪电贷,通过 8 笔交易从 Belt Finance 协议中获得超过 620 万美元资金,并将大部分资金转换成 anyETH 并提取到以太坊。 此次损失 620 万美元。

以上遭到黑客攻击的项目都有一个相同点就是它们都属于BSC生态。自5月份以来,BSC生态项目连续遭到闪电贷攻击,总共损失已超1.57亿美金。巨大的损失金额也给开发者敲响了警钟:闪贷是开发人员在创建智能合约时必须考虑的事情。

DeFi一直被认为是未来金融新范式,它的出现也让我们能够参与到全新的金融交易中。但是,由于技术堆栈的复杂性,某些功能可能会在系统的完全不相关的部分中被滥用,进而造成巨大的损失,这不仅损害了投资者的利益,也给项目、行业蒙上了污点,让圈外人望而却步。

相关推荐

Plasm & Shiden 背后的 Stake 科技完成 1000 万美元的战略融资
Plasm & Shiden 背后的 Stake 科技完成 1000 万美元的战略融资

关于分布式资本分布式资本是亚洲第一家也是最活跃的专注于区块链的风险投资公司。它由区块链和传统金融行业的资深人士于2015年在上海创立,迄今为止,它已经支持了...

2小时前 admin

40亿美元期权即将到期 BTC金额为25.6亿美元 影响几何?
  • 40亿美元期权即将到期 BTC金额为25.6亿美元 影响几何?
  • 40亿美元期权即将到期 BTC金额为25.6亿美元 影响几何?
  • 40亿美元期权即将到期 BTC金额为25.6亿美元 影响几何?
  • 40亿美元期权即将到期 BTC金额为25.6亿美元 影响几何?
简单理解比特币的Taproot
  • 简单理解比特币的Taproot
  • 简单理解比特币的Taproot
  • 简单理解比特币的Taproot
  • 简单理解比特币的Taproot
从《人民法院在线诉讼规则》看区块链存证证据的审查认定

近年来,区块链技术在存证领域得到越来越多的应用,涉及区块链存证的民刑案件逐渐增多。基于区块链存证的电子数据作为一种证据形式,同样有真实性、合法性和关联性问题,即基于区块链技术存储的数据信息应符合客观事...

首届蚂蚁链开发者大会,蚂蚁链放出这些大招
首届蚂蚁链开发者大会,蚂蚁链放出这些大招

传统产业模式正在发生变革,我们即将迎来的是政企数字化转型的新浪潮,以物联网、5G网络、大数据、人工智能、区块链等为载体的一系列新基础设施,正推动着传统企业向协...

2小时前 admin

MASS完成技术升级正式兼容chia文件格式

MASS作为PoC共识最早期推广者,主网稳定运行22个月,验证了PoC共识作为区块链基础协议的可行性。MASS社区一直致力于推广和发展容量证明协议,通过PoC机制构建一个通用的共识引擎,同时并行为多个...

杀毒之父迈克菲陨落 悉数这位加密推动者的传奇一生
  • 杀毒之父迈克菲陨落 悉数这位加密推动者的传奇一生
  • 杀毒之父迈克菲陨落 悉数这位加密推动者的传奇一生
  • 杀毒之父迈克菲陨落 悉数这位加密推动者的传奇一生
  • 杀毒之父迈克菲陨落 悉数这位加密推动者的传奇一生
数字货币law有哪些新动向?
数字货币law有哪些新动向?

过去一周,司法机关出台了两个与区块链、数字货币有所关联的司法解释,分别是6月16日出台的《人民法院在线诉讼规则》和6月22日出台的三机关《关于办理电信网络诈骗等...

2小时前 admin

中国多地清退矿场后,比特币算力发生了什么变化?
中国多地清退矿场后,比特币算力发生了什么变化?

原文标题:《用数据说话:国内矿工关机三天后,BTC全网算力有何变化?》撰文:YogitaKhatri翻译:Tanker内容概述根据TheBlockRe...

2小时前 admin

杀毒之父迈克菲陨落,悉数这位加密推动者的传奇一生

...

肖风:数字城市最终可能搭建在区块链上

...

Plasm & Shiden 背后的 Stake 科技完成 1000 万美元的战略融资
Plasm & Shiden 背后的 Stake 科技完成 1000 万美元的战略融资

关于分布式资本分布式资本是亚洲第一家也是最活跃的专注于区块链的风险投资公司。它由区块链和传统金融行业的资深人士于2015年在上海创立,迄今为止,它已经支持了...

4小时前 admin

【合约日报】BTC小幅下跌后盘整,全网爆仓2.52亿美元
  • 【合约日报】BTC小幅下跌后盘整,全网爆仓2.52亿美元
  • 【合约日报】BTC小幅下跌后盘整,全网爆仓2.52亿美元
  • 【合约日报】BTC小幅下跌后盘整,全网爆仓2.52亿美元
  • 【合约日报】BTC小幅下跌后盘整,全网爆仓2.52亿美元
万向区块链肖风:数字城市最终可能搭建在区块链上
万向区块链肖风:数字城市最终可能搭建在区块链上

有没有可能利用区块链等数字化技术,像互联网公司构建网络平台一样来构建城市的平台?原文标题:《万向区块链肖风:从网络平台到城市平台——城市数字化的另类思考》6月...

4小时前 admin

熊市已经到来?分析师称三个原因表明比特币可能仍处于牛市
  • 熊市已经到来?分析师称三个原因表明比特币可能仍处于牛市
  • 熊市已经到来?分析师称三个原因表明比特币可能仍处于牛市
  • 熊市已经到来?分析师称三个原因表明比特币可能仍处于牛市
  • 熊市已经到来?分析师称三个原因表明比特币可能仍处于牛市