9

Belt Finance 遭闪电贷攻击损失逾 620 万美元,PeckShield 解析攻击细节

 3 years ago
source link: https://news.huoxing24.com/20210530145418455271.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

Belt Finance 遭闪电贷攻击损失逾 620 万美元,PeckShield 解析攻击细节

PeckShield派盾2021-05-30热度: 21722
继分叉 Uniswap 的 BurgerSwap 和 JulSwap 被攻击后,分叉 Curve 的 DeFi 协议也成为黑客的「提款机」。
00:0004:58

原文标题:《Belt Finance 遭闪电贷攻击,Fork Curve 的潘多拉魔盒已打开?》

撰文:PeckShield

北京时间 5 月 30 日,PeckShield 「派盾」预警显示,BSC 链上结合多策略收益优化的 AMM 协议 Belt Finance 遭到闪电贷攻击。

PeckShield 「派盾」通过追踪和分析发现,此次攻击源于攻击者通过重复买入卖出 BUSD,利用 bEllipsisBUSD 策略余额计算中的漏洞操纵 beltBUSD 的价格进行获利。

有意思的是,Ellipsis 是以太坊上 DeFi 协议 Curve 授权 Fork 的项目,从以往与 Curve 相关的攻击来看,潘多拉的盒子是否再次被打开?

以下是攻击过程:

策略

第一步,攻击者从 PancakeSwap 中借出 8 笔闪电贷:

  • FLIP WBNB-BUSD: 107,736,995.2 BUSD
  • FLIP USDC-BUSD: 38,227,899.2 BUSD
  • FLIP BUSDT-BUSD: 153,621,552.7 BUSD
  • FLIP DAI-BUSD: 31,372,406.8 BUSD
  • FLIP UST-BUSD: 17,505,135.1 BUSD
  • FLIP VAI-BUSD: 17,294,888.2 BUSD
  • FLIP ALPACA-BUSD: 10,828,766.5 BUSD
  • FLIP CAKE-BUSD: 10,728,353.2 BUSD

将其中 1 千万 BUSD 存入 bEllipsisBUSD 策略中;

第二步,将 1.87 亿 BUSD 存入 bVenusBUSD 策略,再通过 Ellipsis 合约将 1.9 亿 BUSD 兑换为 1.69 亿 USDT;

重复 7 次提-换-充的操作:攻击者从策略 bVenusBUSD 中提取更多 BUSD,通过 Ellipsis 合约将 1.9 亿 BUSD 兑换为 1.69 亿 USDT,将 BUSD 存入 bVenusBUSD 策略;

由于 beltBUSD 的价格依赖于所有机枪池余额的总和,攻击者将 BUSD 存入 bVenusBUSD 策略,再提出 BUSD,理论上,由于资产的数量不变,即使攻击者重复多次操作,也不会获利。但是,如果操纵其他策略的话,beltBUSD 的价格就会受到影响。

在此攻击中,攻击者通过多次买入卖出 BUSD,再利用 bEllipsis 策略余额计算中的漏洞,操纵了价格。

随后,攻击者通过 Nerve (Anyswap)跨链桥将所获资产分批次转换为 ETH,PeckShield 「派盾」旗下反洗钱态势感知系统 CoinHolmes 将持续监控资产的异动。

这已经是本周以来,在 BSC 链上出现的第四起安全事件。这一周,我们预警和分析了 Fork PancakeBunny 和 Uniswap 的安全事件,BSC 链上的攻击呈现出加速、增长的趋势,以太坊 DeFi 攻击者再次出击还是新的模仿犯已经涌现?

策略

当攻击加速出现,整个 DeFi 领域的安全基础都值得重新审视,攻击者盯上的绝不止一颗新星。PeckShield「派盾」提示 Fork Curve 的 DeFi 协议务必自查代码,排除类似漏洞,或寻求专业代码审计团队的帮助,莫到损失方恨晚。

免责声明:作为区块链信息平台,本站所提供的资讯信息不代表任何投资暗示,本站所发布文章仅代表个人观点,与火星财经官方立场无关。鉴于中国尚未出台数字资产相关政策及法规,请中国大陆用户谨慎进行数字货币投资。
语音技术由科大讯飞提供

report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK