原文标题:《BeltFinance遭闪电贷攻击,ForkCurve的潘多拉魔盒已打开?
北京时间5月30日,PeckShield「派盾」预警显示,BSC链上结合多策略收益优化的AMM协议BeltFinance遭到闪电贷攻击。
PeckShield「派盾」通过追踪和分析发现,此次攻击源于攻击者通过重复买入卖出BUSD,利用bEllipsisBUSD策略余额计算中的漏洞操纵beltBUSD的价格进行获利。
有意思的是,Ellipsis是以太坊上DeFi协议Curve授权Fork的项目,从以往与Curve相关的攻击来看,潘多拉的盒子是否再次被打开?
币安:英国《金融时报》严重错误地描述了事件:金色财经报道,币安声明中否认了《金融时报》关于它与中国有联系的报道。币安一位发言人表示,该公司不在中国开展业务,也不在亚洲国家拥有任何技术,包括服务器或数据。币安表示,匿名消息来源引用了很久之前的历史,并对事件进行了戏剧性的错误描述。币安强调,在 2017 年 9 月中国政府对加密货币进行监管打压后,及该公司成立两个月后,该交易所的原始创始成员离开了中国上海。目前它已经发展成为一个全球性组织,拥有来自 50 多个国家的约 8000 名全职员工,其 25% 的员工位于巴黎和迪拜的区域中心附近。
此前,金融时报报道称,币安多年来一直隐藏与中国的联系。
?
?
?[2023/3/30 13:35:47]
以下是攻击过程:
本周DOT将解锁787.4万枚 上周共质押273.2万枚:据Subscan数据,本周(5月3日-5月9日)波卡解除质押的DOT总量为787.4万枚,解质押峰值在5月6日,共解质押528.2万枚DOT。上周(4.26-5.2)DOT上周共质押了273.2万枚,当前波卡网络的DOT质押率为65.0%。DOT现均价$37.63,涨幅2%。[2021/5/3 21:19:20]
第一步,攻击者从PancakeSwap中借出8笔闪电贷:
行情 | 比特币期货本周跌超9% 延续8月份跌超8%的表现:CME比特币期货BTC 10月合约收跌超0.62%,报6390美元,本周累跌约9.30%,据统计,6月29日以5865美元创前月合约收盘纪录最低。CBOE比特币期货XBT 10月合约收跌不到0.1%,报6402.50美元,本周累跌逾9.15%。[2018/9/8]
FLIPWBNB-BUSD:107,736,995.2BUSD?
FLIPUSDC-BUSD:38,227,899.2BUSD?
FLIPBUSDT-BUSD:153,621,552.7BUSD?
FLIPDAI-BUSD:31,372,406.8BUSD?
FLIPUST-BUSD:17,505,135.1BUSD?
FLIPVAI-BUSD:17,294,888.2BUSD?
FLIPALPACA-BUSD:10,828,766.5BUSD?
FLIPCAKE-BUSD:10,728,353.2BUSD?
将其中1千万BUSD存入bEllipsisBUSD策略中;
第二步,将1.87亿BUSD存入bVenusBUSD策略,再通过Ellipsis合约将1.9亿BUSD兑换为1.69亿USDT;
重复7次提-换-充的操作:攻击者从策略bVenusBUSD中提取更多BUSD,通过Ellipsis合约将1.9亿BUSD兑换为1.69亿USDT,将BUSD存入bVenusBUSD策略;
由于beltBUSD的价格依赖于所有机池余额的总和,攻击者将BUSD存入bVenusBUSD策略,再提出BUSD,理论上,由于资产的数量不变,即使攻击者重复多次操作,也不会获利。但是,如果操纵其他策略的话,beltBUSD的价格就会受到影响。
在此攻击中,攻击者通过多次买入卖出BUSD,再利用bEllipsis策略余额计算中的漏洞,操纵了价格。
随后,攻击者通过Nerve跨链桥将所获资产分批次转换为ETH,PeckShield「派盾」旗下反态势感知系统CoinHolmes将持续监控资产的异动。
这已经是本周以来,在BSC链上出现的第四起安全事件。这一周,我们预警和分析了ForkPancakeBunny和Uniswap的安全事件,BSC链上的攻击呈现出加速、增长的趋势,以太坊DeFi攻击者再次出击还是新的模仿犯已经涌现?
当攻击加速出现,整个DeFi领域的安全基础都值得重新审视,攻击者盯上的绝不止一颗新星。PeckShield「派盾」提示ForkCurve的DeFi协议务必自查代码,排除类似漏洞,或寻求专业代码审计团队的帮助,莫到损失方恨晚。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。