区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > Gateio > 正文

TVL:Impossible Finance闪电贷攻击事件跟踪_COTK

作者:

时间:

前言

6月20日,BSC链上的DeFi项目ImpossibleFinance突然遭遇闪电贷袭击,本是涨势喜人的IF代币从此也一蹶不振,价值一路下滑。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。

事件分析

第一阶段:准备阶段

图1:黑客准备阶段流程图从黑客准备阶段流程图中我们可以看到黑客的最终目的是创建AAA代币与IF代币流动性。为此他的具体操作:第一步:获取IF代币(利用闪电贷从PancakeSwap中获取WBNB代币,并将其兑换成IF代币)

第二步:创建可控代币AAA(BBB)

LocalCoin Swap首席技术官:某团队疑似在BSC的DEX上运行脚本,每小时生成数千个新池和代币:LocalCoin Swap首席技术官Nathan Worsley表示,一个团队似乎正在PancakeSwap等BSC的DEX上运行脚本,每小时生成数千个新池和代币,以及虚假交易活动,使其他交易者难以收集数据来运行机器人。此外,导致正在链状态大量膨胀。[2021/7/7 0:34:51]

第三步:在Impossible中添加了AAA代币与IF代币流动性

MDEX上线币安智能链BSC 40分钟TVL超10亿美元:据MDEX.COM官方数据显示,MDEX上线币安智能链BSC40分钟,TVL已超10亿美元。[2021/4/8 19:59:29]

第二阶段:攻击阶段

图2:黑客攻击阶段流程图从黑客攻击阶段流程图中我们可以看到黑客的最终目的是获得BUSD代币。他的具体操作:第一步:通过Router合约设置兑换路径(AAA->IF->BUSD)第二步:在同一兑换过程中进行了两次兑换操作

第三步:兑换可获利的BUSD代币,并兑换IF代币为下次攻击做准备

攻击原理分析

为什么黑客要在同一兑换过程中进行两次兑换操作?理论上每次兑换操作都将导致K值的变化,用户一般无法获得预期数量的代币。既然黑客这样操作并获利,那么一定在合约某处出了问题。果然检查源码发现了问题:

cheapSwap函数并没有检查K值变化,直接更新价值变化。这就是黑客通过多次兑换操作获得额外BUSD代币的原因。总结

本次闪电贷安全事件主要是由于项目方在参考Uniswapv2协议进行创新时,没能及时对创新内容进行安全验证。虽然对cheapSwap函数做了限制,但是对其本质的安全性——价格变动却忽视了,这是不应该的。近期,BSC链上频频爆发攻击事件,合约安全愈发需要得到迫切重视。BSC官方目前也发推称推测有黑客团队盯上BSC,叮嘱各项目方注意规范,合约审计、风控措施、应急计划等都有必要切实落实。

标签:COTEAPTVLPANCOTKREBASEAPYTVL币PANTHER价格

Gateio热门资讯
EFI:当NFT碰撞动画、体育,来看看这周的新奇发现 | 不一样的NFT_FINA

跨界动态 1、美国娱乐品牌花花公子在NFT市场Raretoshi推出了它的第一批5个动画NFT,该市场得到了Blockstream的Liquid侧链的支持.

WILD:BSC链上项目再遭黑客攻击,「黑色5月」阴云持续?_wild币前景

一、事件概览 北京时间6月3日11时11分,链必安-区块链安全态势感知平台舆情监测显示,BSC链上项目PancakeHunny遭遇黑客攻击。据统计,此次攻击事件中,黑客总共获利43ETH.

USD:浅谈Apricot坏账处理机制(二):COT的流动性保障、风险规避机制以及未来规划_COT

在上一篇文章中,我们给大家大体介绍了下我们平台的坏账处理代币COT,但是受限于篇幅限制,并没有给大家详细介绍我们平台如何保证COT的流动性、如何对COT可能出现的风险进行预防以及COT的未来规划.

APP:虚拟币钱包,如何合规经营?_NFT

本文来自肖飒lawyer,作者肖飒,星球日报经授权转载。2021年6月21日,一则消息出现在人民银行官网《人民银行就虚拟货币交易炒作问题约谈部分银行和支付机构》,记者老友催稿,要求飒姐抓紧写些个.

NFT:数字人民币普及前,你需要知道的10件事_虚拟币

北京刚刚又发放了20万份数字人民币红包,领到红包的幸运者可以在京东、滴滴等应用内体验数字人民币的支付.

APP:get.impact.now是什么?| 不一样的「DFINITY」词贴_虚拟币行情

get.impact.now是基于DFINITY构建的以全球为主题的论坛平台,该项目曾是DFINITY举办的TUNGSTEN演示日的获胜者并在SODIUM发布活动中亮相.