北京时间 5 月 30 日,PeckShield「派盾」预警显示,BSC 链上结合多策略收益优化的 AMM 协议 Belt Finance 遭到闪电贷攻击。
PeckShield「派盾」通过追踪和分析发现,此次攻击源于攻击者通过重复买入卖出 BUSD,利用 bEllipsisBUSD 策略余额计算中的漏洞操纵 beltBUSD 的价格进行获利。
有意思的是,Ellipsis 是以太坊上 DeFi 协议 Curve 授权 Fork 的项目,从以往与 Curve 相关的攻击来看,潘多拉的盒子是否再次被打开?
以下是攻击过程:
DeFi协议Backd完成356万美元融资,Advanced Blockchain AG领投:6月20日消息,DeFi协议Backd宣布完成356万美元融资,Advanced BlockchainAG领投,Spartan Group、Maven11、Struck Crypto、Apollo Capital和Divergence Ventures参投。
Backd通过部署反应性流动性池来最大化DeFi用户资产复合收益,通过Backd的收益聚合流动性池和操作的核心协议架构,自动将流动性委托给外部协议,继而提高资产效用和效率。(Cointelegraph)[2022/6/21 4:41:12]
银保监会金融机构监事:国内挖矿难以完全禁止 本次监管主要针对企业:6月6日消息,银保监会重点金融机构监事会正局级监事陈伟钢接受采访时表示,此次可以说是全面封杀,其实三年多前就禁止了包括比特币在内的虚拟货币交易,目前境内没有任何一家交易所。
陈伟钢说,国内的挖矿仍难以完全禁止,这次主要针对企业挖矿行为。可以通过收入与支出端的财务审计实现管控,如企业挖矿最终一定会体现为营收、利润增值,如果一部分利润属于挖矿得来,可以不允许企业入账,通过这样的方式可以封堵企业的挖矿行为。一些个人购买矿机挖矿,特别是在一些水电较为丰富的地区挖矿,如何封堵还有待下一步观察。但相当于砍掉大户,剩下的小户虽然数量很多,但是总量不大。
陈伟钢说,比特币甚至不算一种投资品,只能算是一种“炒作品”,国外的比特币交易更多是一些机构、财团间的游戏,但在中国以散户投资为主。就像此前的P2P,其实在英国、美国等国家出现的时间比国内早,但是P2P在中国最顶峰时参与的人群范围非常广,这次炒作比特币也是同理。关于国外的合规化趋势,陈伟钢认为,国外可以存在的东西不意味着在中国也有存在的合理性。(中国新闻周刊)[2021/6/6 23:15:55]
第一步,攻击者从 PancakeSwap 中借出 8 笔闪电贷:
波卡生态概念板块今日平均跌幅为2.31%:金色财经行情显示,波卡生态概念板块今日平均跌幅为2.31%。26个币种中6个上涨,20个下跌,其中领涨币种为:OM(+3.56%)、OAX(+3.36%)、KSM(+2.46%)。领跌币种为:AR(-9.07%)、EDG(-8.94%)、PCX(-6.15%)。[2021/5/2 21:18:35]
FLIP WBNB-BUSD: 107,736,995.2 BUSD
FLIP USDC-BUSD: 38,227,899.2 BUSD
FLIP BUSDT-BUSD: 153,621,552.7 BUSD
FLIP DAI-BUSD: 31,372,406.8 BUSD
FLIP UST-BUSD: 17,505,135.1 BUSD
FLIP VAI-BUSD: 17,294,888.2 BUSD
FLIP ALPACA-BUSD: 10,828,766.5 BUSD
FLIP CAKE-BUSD: 10,728,353.2 BUSD
将其中 1 千万 BUSD 存入 bEllipsisBUSD 策略中;
第二步,将 1.87 亿 BUSD 存入 bVenusBUSD 策略,再通过 Ellipsis 合约将 1.9 亿 BUSD 兑换为 1.69 亿 USDT;
重复 7 次提-换-充的操作:攻击者从策略 bVenusBUSD 中提取更多 BUSD,通过 Ellipsis 合约将 1.9 亿 BUSD 兑换为 1.69 亿 USDT,将 BUSD 存入 bVenusBUSD 策略;
由于 beltBUSD 的价格依赖于所有机池余额的总和,攻击者将 BUSD 存入 bVenusBUSD 策略,再提出 BUSD,理论上,由于资产的数量不变,即使攻击者重复多次操作,也不会获利。但是,如果操纵其他策略的话,beltBUSD 的价格就会受到影响。
在此攻击中,攻击者通过多次买入卖出 BUSD,再利用 bEllipsis 策略余额计算中的漏洞,操纵了价格。
随后,攻击者通过 Nerve(Anyswap)跨链桥将所获资产分批次转换为 ETH,PeckShield「派盾」旗下反态势感知系统 CoinHolmes 将持续监控资产的异动。
这已经是本周以来,在 BSC 链上出现的第四起安全事件。这一周,我们预警和分析了 Fork PancakeBunny 和 Uniswap 的安全事件,BSC 链上的攻击呈现出加速、增长的趋势,以太坊 DeFi 攻击者再次出击还是新的模仿犯已经涌现?
当攻击加速出现,整个 DeFi 领域的安全基础都值得重新审视,攻击者盯上的绝不止一颗新星。PeckShield「派盾」提示 Fork Curve 的 DeFi 协议务必自查代码,排除类似漏洞,或寻求专业代码审计团队的帮助,莫到损失方恨晚。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。