ING:逻辑漏洞连环击 攻击者盯上了 Eleven Finance 这块羊毛地_COM

北京时间6月23日，PeckShield「派盾」预警显示，BSC链上收益聚合器ElevenFinance中与Nerve相关的机池遭到闪电贷攻击。

PeckShield「派盾」通过追踪和分析发现，此次攻击源于ElevenFinance的Emergencyburn()计算余额错误，且未执行销毁机制，攻击者获利近460万美元。?

有趣的是，几个小时后，昨天刚从ImpossibleFinance薅得近50万美元的攻击者，利用ElevenFinance的漏洞，通过闪电贷攻击获利近52万美元。

湖南工商大学专题研究：区块链将重构未来商业逻辑:近日，由湖南工商大学党委委员、湖南电子科技职院党委书记杨良奇教授领衔研究的专题《区块链技术所引发的商业变革及其伦理挑战》，在湖南电子科技职院举行研究论证会议。研究认为，商业伦理视阈中区块链技术具有去中心化、数据难以伪变、安全智能合约等基本特征；区块链将在从外在价值到内在价值、从个人信用到机器信用、从信息传播到价值传递、从契约社会到智能合约社会等方面重构未来商业逻辑。（红网）[2020/5/31]

第一个攻击者创建了4个合约，进行了5次攻击。

声音 | 田颖：OK资本现阶段三大投资逻辑与理念:近日， OK资本创始合伙人田颖在接受采访表示， OK投资区块链创业项目现阶段的一条标准是只投看得懂的项目；其次，盈利并不作为首要的目的，投资是为了更好的学习市场规则。第三，我们是围绕着技术生产力去投，只有底层基础设施健康了，行业产生大规模的落地应用才能诞生。[2018/8/13]

PeckShield以合约0x8b29为例简述攻击过程：

首先，攻击者从PancakeSwap中借出953,869.6BUSD，并将其中340,631.2BUSD兑换474,387.75NRV；

声音 | 区块链服务实体经济有七大基本逻辑:在“世界区块链大会·乌镇”上，工信部工业经济研究所所长于佳宁表示，区块链服务实体经济的基本逻辑有以下几点：1.产业协作环节信息化；2.电子信息可信化；3.数据资源资产化；4.信任传递”的数据资源共享机制；5.平台机构自证清白；6.政府实现穿透式监管；7.多主体平等协作联盟组织。[2018/6/30]

随后，攻击者将474,378.75Nerve和366,962BUSD在PancakeSwap中添加流动性，获得411,515.3LPtoken；

攻击者将411,515.3LPtoken放入ElevenFinance中与Nerve相关的机池获得411,515.311nrvbusdLPtoken；

当攻击者提取PancakeLPtoken时，ElevenNeverSellVault中的Emergencyburn()函数本应销毁11nrvbusdLPtoken换回PancakeLPtoken，但Emergencyburn()并未执行burn这个动作，使得攻击者利用此逻辑错误获利。

该攻击者又创建了0x01ea合约，借出30.9BTCB；0xc0ef合约借出285.66ETH以及0x87E9借出两笔闪电贷2,411,889.87BUSD和7,693BUSD进行攻击。

攻击者通过利用集成的第三方合约功能进行攻击，这类问题较难检测到，例如，此前PeckShield「派盾」帮助RariCapital避免更大损失案例一样，在定位漏洞根源时，由于合约交互容易干扰安全人员的判断，PeckShield「派盾」建议，开发人员应谨慎与任意第三方协议进行交互。

DeFi协议开发人员在集成第三方协议并将其部署到生产运行之前，应充分了解合约及其分支项目的运行情况。DeFi协议开发人员应在项目上线前，先将其部署在测试网上进行测试并及时检查交易记录中的异常情况。

“太快了，攻击者从合约部署，到完成攻击，甚至到再次发起攻击，这一系列操作有时候快得让人有些反应不过来。”PeckShield「派盾」安全人员表示，“因此，事前审计，事中响应，事后提出及时有效的安全方案都是缺一不可的，谁都不知道攻击者会不会在下一秒发起攻击。”

标签：DEFIINGCOMOMPDeFi Kingdomtiger-kingKOACOMBATKompass

BTC热门资讯