SharkTeam独家分析丨BurgerSwap闪电贷攻击事件分析
source link: https://www.tuoniaox.com/news/p-502646.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
SharkTeam独家分析丨BurgerSwap闪电贷攻击事件分析
摘要:
SharkTeam独家分析丨BurgerSwap闪电贷攻击事件分析
北京时间2021年5月28日,币安智能链(BSC)上AMM项目BurgerSwap遭遇闪电贷攻击,损失近700万美元。
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
一、事件分析
(1)攻击者从 PancakeSwap WBNB-BUSDT 资金池中通过闪电贷借出 6,047.13 WBNB;然后在BurgerSwap中,将 6,029 WBNB 兑换为 92,677 BURGER;
(2)在 BurgerSwap 平台创造假币 BURGER-Fake LP,创建了假币与BURGER的交易对
(3)将 100 枚假币兑换为 45453 BURGER; 另外,攻击者通过重入来攻击合约,将 45316.6 BURGER 兑换为 4478.6 WBNB
(4)将45453 BURGER兑换为4478.6WBNB
(5)攻击者从上述两步中,共计获得 8957 WBNB。攻击者将 492 WBNB 在 BurgerSwap 中兑换为 108791 BURGER
(6)返还闪电贷完成攻击。
二、安全建议
此次事件是又一次与闪电贷攻击有关的区块链安全事件,DeFi项目的业务逻辑设计复杂,涉及的经济学计算和参数较多,却不同项目和协议之间可组合性极其丰富,很难预测,非常容易出现安全漏洞。如下表,利用闪电贷这种新型产品进行攻击的DeFi事件在过去的一年里层出不穷,已增加到21起。通常闪电贷攻击包括“哄抬套利”、“操纵预言机”、“重入攻击”和“技术漏洞”四种。本次属于基于“重入攻击”的黑客攻击。
智能合约安全关系用户的财产安全,至关重要!区块链项目开发者应与专业的安全审计公司合作,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。
三、SharkTeam智能合约安全审计
SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面111项审计内容,全面保障智能合约安全。
SharkTeam为客户提供高级别的区块链安全服务,区块链安全专家团队7*24小时为智能合约提供全生命周期的安全保障,服务包括:VIP安全审计服务、VIP合规审计服务、安全事故应急响应等。
SharkTeam也提供自动化审计工具,自动化审计以云服务的方式为用户提供服务。运用符号执行、形式化验证等智能合约分析技术,满足开发者智能合约日常审计需求。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK