SharkTeam独家分析 | 闪电贷&操纵预言机:Ploutoz Finance被黑事件分析
source link: https://www.tuoniaox.com/news/p-521077.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
SharkTeam独家分析 | 闪电贷&操纵预言机:Ploutoz Finance被黑事件分析
摘要:
闪电贷&操纵预言机:Ploutoz Finance被黑事件分析
北京时间11月23日,BSC上Defi借贷协议Ploutoz Finance遭到闪电贷攻击,黑客获利26.5万美元,协议损失更大。黑客利用被操纵的DOP做为抵押品借入其他资产,包括CAKE、ETH、BTCB等,随后通过ParaSwap和PancakeSwap交易位BNB后转入混币协议TornadoCash。
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
一、事件分析
1.攻击者从PancakeSwap的WBNB/BUSD交易对中闪电贷1000400 BUSD,然后将1000000 BUSD通过TwindexRouter兑换成了570234 DOP,抬高了 TwindexSwap DOP/BUSD交易对中DOP的价格;经剩余的400 BUSD通过 PancakeRouter 兑换成了8841 DOP,抬高了PancakeSwap DOP/BUSD交易对中DOP的价格。
2. 抵押8450 DOP,借贷了85 Cake,18000 DOLLY,18 ETH,1.6 BTCB,89000 BSC-USDT以及90000 BUSD
3. 将剩余的DOP兑换成 BUSD,结合借贷的90000 BUSD,偿还闪电贷。
攻击者能够攻击成功,原因在于攻击者在借贷的过程中抬高了DOP的价格,从而在将DOP作为抵押物时可以借出更多价值的其他资产,当DOP价格恢复的时候,借出的资产价值比抵押物的价值更高,破坏了超额抵押的规则,最终从中获利。
对于sourceToken DOP,由于第一步中就抬高了TwindexSwap的BOP/BUSD交易对中的DOP的价格,导致在借贷的时候DOP以一个超出正常价值的价格用于抵押,从而可以借出超出其价值的其他资产。
二、安全建议
SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。
SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容,全面保障智能合约安全。
欢迎加入鸵鸟区块链Telegram社群
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK