一个“聪明的”交易者通过去中心化金融(DeFi)领域的各种协议,净赚了35万美元的巨额收益。
一套聪明的指令——所有指令都在一笔大额交易中执行——使某些人能够利用DeFi生态系统当前的弱点来获利。通过使用一些去中心化的金融工具和少量的价格操纵,他们能够获得大量的以太坊。
安全团队:Audius项目恶意提案攻击简析,攻击者总共获利约108W美元:7月24日消息,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,Audius项目遭受恶意提案攻击。成都链安安全团队简析如下:攻击者先部署恶意合约并在Audius: Community Treasury 合约中调用initialize将自己设置为治理合约的监护地址,随后攻击者调用ProposalSubmitted 提交恶意85号提案并被通过,该提案允许向攻击合约转账1,856w个AudiusToken,随后攻击者将获得的AudiusToken兑换为ETH,总共获利约108W美元,目前获利资金仍然存放于攻击者地址上(0xa0c7BD318D69424603CBf91e9969870F21B8ab4c)。[2022/7/24 2:34:31]
DeFi投资公司Stake Capital的创始人Julien Bouteloup说明了这个多层次的交易是多么复杂。他大致描述了所发生的事情。
Cream Finance攻击者归还5152.5枚ETH:PeckShield“派盾”预警显示,Cream Finance攻击者归还5152.5枚ETH。据悉,8月30日Cream协议遭到重入攻击。
此前,Cream Finance 官方发布的闪电贷攻击事后分析报告显示,漏洞导致共 4.6 亿枚 AMP 代币和 2804 枚 ETH (当时价值约合 3400 万美元)被盗。更多内容可等待 Cream Finance 官方消息。[2021/9/8 23:08:50]
他指出,1万以太坊的闪电贷可能是问题所在。其中一半资金进入了借贷平台Compound,用于wrapped BTC(以太坊上的比特币)。剩下的是做空的抵押品——认为价格会下跌——即wBTC在保证金交易平台Fulcrum上的交易。该账户随后将wBTC出售给了去中心化交易所Uniswap。价格下跌了,于是黑客套现获利,偿还了最初的贷款。
慢雾:攻击者系通过“supply()”函数重入Lendf.Me合约 实现重入攻击:慢雾安全团队发文跟进“DeFi平台Lendf.Me被黑”一事的具体原因及防御建议。文章分析称,通过将交易放在bloxy.info上查看完整交易流程,可发现攻击者对Lendf.Me进行了两次“supply()”函数的调用,但是这两次调用都是独立的,并不是在前一笔“supply()”函数中再次调用“supply()”函数。紧接着,在第二次“supply()”函数的调用过程中,攻击者在他自己的合约中对Lendf.Me的“withdraw()”函数发起调用,最终提现。慢雾安全团队表示,不难分析出,攻击者的“withdraw()”调用是发生在transferFrom函数中,也就是在Lendf.Me通过transferFrom调用用户的“tokensToSend()”钩子函数的时候调用的。很明显,攻击者通过“supply()”函数重入了Lendf.Me合约,造成了重入攻击。[2020/4/19]
但是,这个黑客告诉了人们各种DeFi工具如何一起使用,以获得不道德的利润,他或她还强调了这些DeFi工具的中心化程度。
昨天,维护Fulcrum协议的bZx发布了最新情况。该公司声称,其平台上的用户无一损失。
该平台还表示,攻击者在交易所留下了60万美元的wBTC。他们计划把这些钱分发给交易所的其他用户。
但是,要做到这一点,平台需要使用它的“管理密钥”。
从本质上讲,这个管理密钥很难嵌入到协议中,其允许bZx在不得已的情况下控制任何智能合约(资金都在智能合约中)。管理密钥的目的正是为了某些情况,即系统出现了问题,同时其中包含了大量的资金。
但是,管理密钥证明了中心故障点的存在,用户必须信任交易背后的团队,相信他们不会偷走所有人的钱。考虑到DeFi的目标就是消除这种信任,这似乎是一个相当大的弱点。
DeFi协议希望有一个安全保障机制,这并不奇怪。以太坊最大的实验项目——The DAO——曾经持有14%的以太坊——由于代码错误而失败了。结果,整个以太坊区块链被重写,这样每个人都能拿回他们的钱。但此举破坏了网络,招致了很多批评。
这一次,Fulcrum将使用它的管理密钥来节省时间,但是,此举彻底暴露了其中心化的本质,它产生的问题比答案更多。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。