北京时间 6 月 23 日,PeckShield「派盾」预警显示,BSC 链上收益聚合器 Eleven Finance 中与 Nerve 相关的机池遭到闪电贷攻击。
PeckShield 「派盾」通过追踪和分析发现,此次攻击源于 Eleven Finance 的 Emergencyburn() 计算余额错误,且未执行销毁机制,攻击者获利近 460 万美元。
有趣的是,几个小时后,昨天刚从 Impossible Finance 薅得近 50 万美元的攻击者,利用 Eleven Finance 的漏洞,通过闪电贷攻击获利近 52 万美元。
安全团队:BNB Chain上去中心化交易协议KaoyaSwap遭攻击,系交易函数的错误逻辑引起:据BlockSec监测,BNB Chain上去中心化交易协议KaoyaSwap遭攻击,攻击利润在37,294枚BUSD和271.2枚WBNB(约8万美元)左右。BlockSec表示攻击是由交易函数的错误逻辑引起的。[2022/8/24 12:45:11]
第一个攻击者创建了 4 个合约,进行了 5 次攻击。
PeckShield 以合约 0x8b29 为例简述攻击过程:
声音 | 陈伟星:区别看待孙宇晨和李笑来的逻辑,是因区块链行业需要能分辨行为:泛城资本创始人陈伟星在其微博上表示,很多人质疑我为啥区别看待孙宇晨和李笑来,我来简单解释下:
先说下“”的定义:他人用欺瞒,或者说谎的方式,以获得被害人的信任,进而让被害人自发性的交出财物的行为。
再看下行为:
1.孙宇晨集资发了两个币tron和btt,一直在开发和推广,并且看起来没有推脱的意图;
李笑来疑似集资发了press one、big、one等直接和间接二十几个币,但现在几乎不干活,并且一直在推脱自己的责任;
2.孙宇晨借事件炒作,比如是马云徒弟、少年有成、要干掉eth、和巴菲特吃饭等,基本上并没有说谎和欺瞒;
李笑来虚假宣传自己有10万个比特币、交几个亿的税、比特币首富、eos有百万tps等等,塑造富豪形象和天才技术,属于说谎和欺瞒;
3.孙宇晨历史清晰,在tron之前几乎没有做过亏钱生意,也没有集资过任何散户的钱;
李笑来历史上,几十家公司几乎没有赚过钱,却有多次向散户集资的经历,包括p2p、股权众筹、商品众筹、不合规私募等。
我区别对待的逻辑,是因区块链行业需要能分辨行为,找出合法与非法的界限,才能让行业健康往前发展。[2019/6/9]
首先,攻击者从 PancakeSwap 中借出 953,869.6 BUSD,并将其中 340,631.2 BUSD 兑换 474,387.75 NRV;
人物 | V神认为花费千万美元上线交易所不符合逻辑:V神近日接受Tech Crunch采访,态度鲜明的表示项目方花费千万美元上线交易所不符合逻辑。V神表示,目前,中心化交易所存在的唯一原因是作为法币和加密货币价值中介。然而当全球开始大规模采纳加密货币,届时,支持币币交易的交易所标准应开始注重多中心化建设。[2018/7/9]
随后,攻击者将 474,378.75 Nerve 和 366,962 BUSD 在 PancakeSwap 中添加流动性,获得 411,515.3 LP token;
攻击者将 411,515.3 LP token 放入 Eleven Finance 中与Nerve 相关的机池获得 411,515.3 11 nrvbusd LP token;
当攻击者提取 Pancake LP token 时,ElevenNeverSellVault 中的 Emergencyburn() 函数本应销毁 11 nrvbusd LP token 换回 Pancake LP token,但 Emergencyburn() 并未执行 burn (销毁)这个动作,使得攻击者利用此逻辑错误获利。
该攻击者又创建了 0x01ea 合约,借出 30.9 BTCB;0xc0ef 合约借出 285.66 ETH 以及 0x87E9 借出两笔闪电贷 2,411,889.87 BUSD 和 7,693 BUSD 进行攻击。
攻击者通过利用集成的第三方合约功能进行攻击,这类问题较难检测到,例如,此前PeckShield「派盾」帮助 Rari Capital 避免更大损失案例一样,在定位漏洞根源时,由于合约交互容易干扰安全人员的判断,PeckShield「派盾」建议,开发人员应谨慎与任意第三方协议进行交互。
DeFi 协议开发人员在集成第三方协议并将其部署到生产运行之前,应充分了解合约及其分支项目的运行情况。DeFi 协议开发人员应在项目上线前,先将其部署在测试网上进行测试并及时检查交易记录中的异常情况。
“太快了,攻击者从合约部署,到完成攻击,甚至到再次发起攻击,这一系列操作有时候快得让人有些反应不过来。”PeckShield「派盾」安全人员表示,“因此,事前审计,事中响应,事后提出及时有效的安全方案都是缺一不可的,谁都不知道攻击者会不会在下一秒发起攻击。”
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。