北京时间6月23日,PeckShield「派盾」预警显示,BSC链上收益聚合器ElevenFinance中与Nerve相关的机池遭到闪电贷攻击。
PeckShield「派盾」通过追踪和分析发现,此次攻击源于ElevenFinance的Emergencyburn()计算余额错误,且未执行销毁机制,攻击者获利近460万美元。?
有趣的是,几个小时后,昨天刚从ImpossibleFinance薅得近50万美元的攻击者,利用ElevenFinance的漏洞,通过闪电贷攻击获利近52万美元。
彭博分析师:期望BTC价格保持近期的反弹可能是不合逻辑的:金色财经报道,彭博社警告称,由于央行保持流动性紧张,加密货币可能还会出现长期调整。M2 货币供应量和银行存款的暴跌意味着流动性继续受到挤压。Bloomberg Intelligence 高级宏观策略师 Mike McGlone 表示,风险资产通常在流动性和美国货币供应量下降的支持下涨跌,而银行存款表明加密货币面临逆风。期望股市、原油、铜和彭博银河加密货币指数(BGCI)维持最近的反弹可能是不合逻辑的,货币供应量和商业银行存款的同比措施下降了约2%,这是我们数据库中自1959年以来的最大值。大多数央行仍在收紧政策可能预示着 BGCI 的平稳期较低。我们的看法是,比特币面临逆风,但最终会过渡到更像黄金和国债的交易方式。[2023/4/7 13:49:01]
第一个攻击者创建了4个合约,进行了5次攻击。
灰度:SEC反对比特币现货ETF上市的理由不合逻辑:金色财经报道,灰度针对美国证券交易委员会(SEC)于 12 月 9 日发布的简报进行了回应,灰度表示,SEC 的核心观点是比特币期货 ETF(交易所交易基金)的交易所与 CME 的监管共享协议提供了充分的保护,防止比特币期货市场而非现货比特币市场的欺诈和操纵。但比特币现货市场发生的任何欺诈行为必然会影响比特币期货的价格,所以 SEC 的观点并不合逻辑。SEC 将于 2 月 3 日就此事发布最终简报。[2023/1/14 11:11:24]
PeckShield以合约0x8b29为例简述攻击过程:
声音 | 时戳资本CEO李宗乘:区块链行业有三个投资逻辑:时戳资本CEO李宗乘近日分享了区块链行业的三个投资逻辑。1、看事:行业研究+趋势判断+商业模式;2、看人:看谁在掌舵、激励机制和权责对等;3、看数据,用数据说话。[2018/7/28]
首先,攻击者从PancakeSwap中借出953,869.6BUSD,并将其中340,631.2BUSD兑换474,387.75NRV;
随后,攻击者将474,378.75Nerve和366,962BUSD在PancakeSwap中添加流动性,获得411,515.3LPtoken;
攻击者将411,515.3LPtoken放入ElevenFinance中与Nerve相关的机池获得411,515.311nrvbusdLPtoken;
当攻击者提取PancakeLPtoken时,ElevenNeverSellVault中的Emergencyburn()函数本应销毁11nrvbusdLPtoken换回PancakeLPtoken,但Emergencyburn()并未执行burn这个动作,使得攻击者利用此逻辑错误获利。
该攻击者又创建了0x01ea合约,借出30.9BTCB;0xc0ef合约借出285.66ETH以及0x87E9借出两笔闪电贷2,411,889.87BUSD和7,693BUSD进行攻击。
攻击者通过利用集成的第三方合约功能进行攻击,这类问题较难检测到,例如,此前PeckShield「派盾」帮助RariCapital避免更大损失案例一样,在定位漏洞根源时,由于合约交互容易干扰安全人员的判断,PeckShield「派盾」建议,开发人员应谨慎与任意第三方协议进行交互。
DeFi协议开发人员在集成第三方协议并将其部署到生产运行之前,应充分了解合约及其分支项目的运行情况。DeFi协议开发人员应在项目上线前,先将其部署在测试网上进行测试并及时检查交易记录中的异常情况。
“太快了,攻击者从合约部署,到完成攻击,甚至到再次发起攻击,这一系列操作有时候快得让人有些反应不过来。”PeckShield「派盾」安全人员表示,“因此,事前审计,事中响应,事后提出及时有效的安全方案都是缺一不可的,谁都不知道攻击者会不会在下一秒发起攻击。”
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。