DEFI:损失近2070万美元 防不胜防？Popsicle Finance被攻击事件全解析_COREFI价格

8月4日，链必安-区块链安全态势感知平台（Beosin-Eagle Eye）舆情监测显示，跨链收益率提升平台Popsicle Finance下Sorbetto Fragola产品遭到攻击，导致了约2070万美元的损失，攻击者共获利2.6K WETH，5.4M USDC，5M USDT，160K DAI,10K UNI，和96 WBTC。

攻击如何发生 Event overview

首先，跟我们了解一下Popsicle Finance是什么？

这是一个很有意思的项目，主要做跨链流动性挖矿。在DeFi 大热的时候，大家都在找流动性挖矿的机会，希望让自己的资产收益最大化。但因以太坊主网 gas 费用居高不下，给了二层、侧链、其他区块链迅速发展壮大的机会。在多链时代下，Popsicle Finance就在这样的背景下诞生了。

因误操作损失近5万美元的加密用户获赠1.1万美元:12月30日消息，此前因误操作损失了大约5万美元的加密用户Dawid最终获得了1.1万美元的捐款。Aavegotchi联合创始人Jesse Johnson报告称，他们在圣诞节当天通过200多笔存款向Dawid发送了大约价值11000美元的代币。此前12月16日消息，一位名为Dawid的用户误将价值4.7万美元的LINK发送到了Aavegotchi的代币GHST的质押合约地址，导致丢币。据悉，损失的资金是Dawid的毕生积蓄，其在社区寻找帮助，对此，Aavegotchi官方发起捐赠，并表示在圣诞节当天，SantaGotchi钱包中获得的资金都将发送给Dawid。（Cointelegraph）[2020/12/30 16:04:50]

在遭到黑客攻击后，Popsicle Finance团队成员立即发推表示，目前仅有 Sorbetto Fragola 一款产品受到影响。团队将在几周内修复漏洞并对用户损失进行赔偿。

数据：BitMex不到一个月损失近40％比特币:自从黑色星期四以来，BitMex用户一直在大量的从交易所中提取比特币。3月13日，BitMex持有306,814比特币（BTC），到4月9日，这一数字已降至222,025，这意味着比特币持有量减少了38％。尽管这与最近交易者普遍将比特币从集中交易中转移出去的趋势吻合，但就BitMex而言，这种下降更为明显。（Cointelegraph）[2020/4/13]

攻击者如何得手 Event overview

攻击者地址：

0xf9E3D08196F76f5078882d98941b71C0884BEa52

攻击合约：

A：

0xdfb6fab7f4bc9512d5620e679e90d1c91c4eade6

动态 | EOS竞猜游戏FASTWIN遭黑客攻击 损失近700EOS:Beosin成都链安态势感知安全预警：今日下午2:21开始，根据区块链安全态势感知系统Beosin-Eagle Eye检测发现，近期活跃的黑客ju****ang子账号3ypa****rggff向eos竞猜游戏FASTWIN发起攻击，截止目前已获利近700eos，且攻击还在进行。经过技术团队的初步分析原因是随机数问题，我们已在第一时间发出预警并联系项目方。成都链安提醒各项目方提高警惕，必要时联系安全公司进行安全服务，避免不必要的资产损失，同时欢迎各区块链游戏项目方加入鹰眼态势感知系统，我们将为大家免费提供预警报警服务。[2019/9/6]

B：

0x576Cf5f8BA98E1643A2c93103881D8356C3550cF

C：

0xd282f740Bb0FF5d9e0A861dF024fcBd3c0bD0dc8

声音 | PeckShield：EOSBet遭“伪造转账通知” 损失近14万EOS:据媒体报道，EOSBet平台今天下午遭受了攻击，区块链安全公司PeckShield第一时间监测并捕捉到了该攻击行为的发生。PeckShield安全人员进一步分析发现，黑客利用EOSBet合约在检验收款方时存在的漏洞，伪造转账通知，总计从eosbetdice11获利138,319.7995EOS。据PeckShield态势感知平台监测发现，今天下午13:27到13:38之间，账号ilovedice123总共发起了10余笔大额转账指向交易所平台，其中72,150 EOS流入了Bitfinex，65,100 EOS流入了Poloniex。根据EOS当前行情价格37元估算，EOSBet平台此次损失额超500万元。[2018/10/15]

攻击交易：

0xcd7dae143a4c0223349c16237ce4cd7696b1638d116a72755231ede872ab70fc

分析 | 报告：自2011年至2018年7月全球因区块链安全事件造成损失近30亿美元:据BCSEC统计数据显示，自2011年至2018年7月，全球因区块链安全事件造成损失近30亿美元。[2018/9/17]

攻击者使用相同的攻击方式获利了多种代币，以下以USDT为例分析：

Round 1

攻击者使用合约A通过闪电贷获取USDT和ETH。

Round 2

通过合约A调用SorbettoFragola的deposit函数获取凭证代币PLP。

Round 3

将PLP发送给合约B并执行SorbettoFragola的collectFee函数，这时输入的amount均为0，更新合约B的奖励参数。之后将PLP发送到合约C，进行同样的操作。合约C完成操作后将PLP发送回合约A。

因为合约B、C持币，所以会计算更新其奖励（不随代币转移清空），更新后的数值如下图所示：

Round 4

合约A执行SorbettoFragola的withdraw函数，销毁PLP代币。取出本金后更新相关参数为最新。

Round 5

接着合约B与合约C再度执行collectfee函数。

输入的amount为上面更新后的数值tokenReward。

这时因为满足此处条件，所以会到pool地址（UNIV3的对应交易对地址）去移除流动性，并将代币发送给合约B、C。

Round 6

合约C再次调用collectfee函数获利。

此时amount如下图所示：

最后，满足调用pay函数的条件，通过pay函数向合约C发送代币。

事件复盘

我们需要注意什么 Case Review

Popsicle Finance最初管理的是跨链流动性，于6月26日推出Sorbetto Fragola 以管理Uniswap v3流动性。

项目方应该也没有预料到，黑客会在今日进行攻击，导致了约2070万美元的损失。可见，安全预判是多么重要。

注意

成都链安在此建议，对于项目方而言，在PLP转移时，应该重新计算并更新PLP发送方与接收方的奖励值，避免奖励重复发放。此外，项目的逻辑缺陷一定要得到重视。

标签：SWAPDAOEFIDEFIIDL SwapDsunDAOCOREFI价格GDEFI价格

币赢热门资讯