DeFi协议AutoShark Finance遭遇闪电贷攻击

10月2日消息，据PeckShield“派盾”官方推特消息，DeFI 协议AutoShark Finance遭

遇闪电贷攻击，其交换挖掘功能在-一系列交，易中被利用，由于矿池的流动性相对较低，黑客可以使用闪电贷占据矿池的大部分份额(以弥补交换损失/费用)，同时仍然享受可观的“交换费用奖励”(从每次巨额交换中增加)。黑客重复上述步骤七次，获利318万FINS，之后立即将FINS交换为1,388 BNB (约合581,000美元)。

我的天哪，9月份就接连爆出来各种黑客攻击，这才10月份第二天啊，就开始黑客攻击了，看来黑客也不放假啊！

慢雾五月回顾：AutoShark Finance 被黑分析

其实，此前报道，今年5月，PeckShield' 派盾”预警显示，BSC链_上DeFi协议AutoShark

Finance遭到闪电贷攻致使其币价闪崩，跌至0.01美元，跌幅达到99%以上。

我们借用慢雾技术团队的分析，大概是这样式儿的：

黑客的准备工作：攻击者从 Pancake 的 WBNB/BUSD 交易对中借出大量 WBNB；

下一步，将第 1 步借出的全部 WBNB 中的一半通过 Panther 的 SHARK/WBNB 交易对兑换出大量的 SHARK，同时池中 WBNB 的数量增多；

下一步，将第 1 步和第 2 步的 WBNB 和 SHARK 打入到 SharkMinter 中，为后续攻击做准备；

下一步，调用 AutoShark 项目中的 WBNB/SHARK 策略池中的 getReward 函数，该函数会根据用户获利的资金从中抽出一部分手续费，作为贡献值给用户奖励 SHARK 代币，这部分操作在 SharkMinter 合约中进行操作；

下一步，SharkMinter 合约在收到用户收益的 LP 手续费之后，会将 LP 重新拆成对应的 WBNB 和 SHARK，重新加入到 Panther 的 WBNB/SHARK 交易池中；

下一步，由于第 3 步攻击者已经事先将对应的代币打入到 SharkMinter 合约中，SharkMinter 合约在移除流动性后再添加流动性的时候，使用的是 SharkMinter 合约本身的 WBNB 和 SHARK 余额进行添加，这部分余额包含攻击者在第 3 步打入 SharkMinter 的余额，导致最后合约获取的添加流动性的余额是错误的，也就是说 SharkMinter 合约误以为攻击者打入了巨量的手续费到合约中；

下一步，SharkMinter 合约在获取到手续费的数量后，会通过 tvlInWBNB 函数计算这部分手续费的价值，然后根据手续费的价值铸币 SHARK 代币给用户。但是在计算 LP 价值的时候，使用的是 Panther WBNB/SHARK 池的 WBNB 实时数量除以 LP 总量来计算 LP 能兑换多少 WBNB。但是由于在第 2 步中，Panther 池中 WBNB 的数量已经非常多，导致计算出来的 LP 的价值非常高；

下一步，在 LP 价值错误和手续费获取数量错误的情况下，SharkMinter 合约最后在计算攻击者的贡献的时候计算出了一个非常大的值，导致 SharkMinter 合约给攻击者铸出了大量的 SHARK 代币；

最后一步，攻击者后续通过卖出 SHARK 代币来换出 WBNB，偿还闪电贷。然后获利离开。

整个步骤看完，我有点脑壳疼。

总之，黑客借币、调用函数、返回LP、获取数值、获得奖励，然后走人。

其实9月份的黑客攻击事件比8月份少一些，但数量仍不少。

九月发生20多起黑客攻击事件

其中在DeFIi领域就偶遇8起典型安全事件。

第一个，DeRace因DAO Maker分发系统被攻击，导致部分代币被黑客盗取并抛售。

第二个，NFT市场OpenSea的一个漏洞导致至少42个NFT被发送至一个销毁地址，价值至少10万美元。

第三个，Avalanche链上Zabu Finance官方表示，攻击者提取45亿ZABU代币，倾销获利约60万美元。

第四个，以太坊扩容网络Arbitrum因漏洞导致停机，已定位问题并修复。

第五个，SushiSwap平台MISO上的DONA代币拍卖遭到攻击，损失超300万美元。

第六个，跨链协议pNetwork因代码漏洞遭攻击，损失约 1308 万美元。

第七个，借贷协议Vee.Finance官方确认：超3500万美元资产被盗，稳定币未受影响。

第八个，比特币基金会网站bitcoin.org遭到黑客攻击，首页出现了“双倍返还比特币”骗局，攻击者窃取了1.7万多美元。

真是不数不知道，一数吓一跳，不过十分庆幸的是本人一个币都没得，善哉善哉！

当DeFi沦为黑客的“提款机”，如何保证资产安全性？

这是所有区块链从业者都十分关心的问题，无论是项目方还是加密玩家，其实只关心两件事，如何赚钱和如何安全，如果合成一句话就是如何安全地赚钱！

我们说DeFi的兴起，在于它的一些优势。去中心化金融能够从根本上改变金融体系，区块链技术和 DeFi 使系统更加值得信赖、更具成本效益和透明性，没有银行账户的人可以进入经济体系，为投资者开辟新的机会。

但是安全问题，是DeFi 目前遇到的最严峻的挑战，可能你会问，黑客为什么热衷于攻击 DeFi 项目？我也想知道啊！

截止到10月份，去中心化金融（DeFi）系统中的黑客攻击占 2021 年全球所有主要黑客攻击的近 76%。

许多 DeFi 项目可能会因为开发人员的代码漏洞而被黑客攻击，此外，其他网络犯罪分子可以通过快速贷款并操纵代币价格来破解 DeFi 协议。

你看，要么是自身专业度不够出现了漏洞，被钻了空子，要么是机制有问题又被钻了空子。

Chainge钱包：守住加密用户的钱袋子

 Chainge采用了DCRM(分布式控制权管理)、TL(时间锁定)、QS(量子交换)、USAN(universal short account number 通用钱包和全球短帐号）、SCT (智能合约模板)等技术，Chainge把DeFi领域中具有显著优势和特点的项目整合进一个生态中。用户和投资者一进入Chainge的生态中，就像是进入到了一个自己的掌上银行一样，可以在Chainge中体验到安全稳定去、中心化的金融服务。

Chainge钱包的主要功能，就是在安全的状态下，让用户存储自己的加密资产和加密资产的跨链，同时加上DEX功能给有交易需求的用户使用。

黑客攻击最长用的方法还是：闪电贷攻击、合约业务漏洞攻击、重入攻击俗称黑客三大招。

所以在安全方面，chainge采用了fusion技术，FUSION已实现并且发布了代码的独创DCRM核心技术，并完成了区块链史上第一笔分布式签名跨链交易！

FUSION此次在DCRM技术上的突破标志着金融衍生物分布式产生的新纪元，而在FUSION上为实现金融时间价值的Time Lock功能更是一个非常具有影响力的创新。

虽然，我也不知道fusion是啥技术，总之听起来就是很厉害就对了。

微博：https://weibo.com/u/7533419377

公众号：Chainge_Finance_CN

听说牛又回来了？？？我赶紧看看我橙子钱包里面是不是又多了一些币。。。。。。

何出此言？因为我听说有大量的美团和饿了么骑手集体辞职。。。我忽然明白了什么。

作者郑重申明：截至发文时，作者与文中提及项目皆不存在任何利益关系。