得到的代币池中的数量设置为任意想要的数量。
进程7:使用flash loan还清之前的闪电贷。进犯结束。
具体进程可以看出,进犯者经过先借得很多代币,并经过铸造代币、很多买卖、触发空投机制等一系列操作,奇妙有利地势用了Compound协议的金融模型缝隙。整个进犯进程获利约11.5ETH,这样的进犯方法可谓精妙。
天网扫描
- 事情概述
6月29日,进犯者从dYdX闪电贷中借到代币并铸币后,经过uniswap闪贷取得cWBTC和cBAT代币,然后将借得的代币在Balancer代币池中很多买卖,然后触发Compound协议的空投机制,取得空投的COMP代币,再运用Balancer有缝隙的gulp函数更新代币池数量后,取走所有代币并归还闪电贷。进犯者相当于使用了Compound协议的金融模型、闪电贷和Balancer代码缝隙,无中生有了COMP,总获利约为11.5ETH。
- CertiK进犯者心理画像
6月29日下午8点与11点的两起进犯运用了相同的方法并且运用了同一个收款地址,确认为一个团队。尽管这两次进犯与29日凌晨2点的进犯均使用了Balancer合约的gulp,可是进犯手段不同,后两次进犯使用了Compound的金融模型的缝隙而不是单纯的代码缝隙。别的,后两次进犯的获利远小于初次进犯获利,施行初次进犯的黑客没有再次进犯的动机。CertiK判断后两次进犯是在初次进犯14小时后,使用类似原理施行的仿照进犯。
- DeFi安全新应战
这次的进犯事情主要使用了金融模型规划上的缝隙,而不是代码层面的缝隙。这种由DeFi市场孕育出的新式进犯模式,让大部分区块链安全公司仅有的“代码审计”服务变得毫无用处。
只针对代码层面而不能对抽象模型进行剖析的、传统的安全技术彻底应对不了DeFi带来的新应战。而没有模型层面维护的DeFi,只能沦为熟知DeFi金融模型的黑客的提款机。
- DeFi安全预警是弊大于利吗?
这次的仿照进犯,让很多人对区块链安全公司产生了质疑:安全公司的剖析文章会不会教会更多人进犯的方法?为什么各种安全预警没有改善安全环境?我们真的还需要安全预警吗? CertiK的观念是,不仅需要安全预警,还要做到更快更深入!
不同于传统软件系统,区块链所有的买卖、所有的合约调用都是揭露通明的。进犯事情发生后,区块链上的买卖记录关于黑客而言便是最直白的教科书,区块链安全公司要抢在仿照进犯之前发布预警,维护相关公司。可是最近频繁的进犯事情,再一次证明安全预警是远远不够的,并不能改变当时DeFi甚至整个区块链的安全现状。
- DeFi安全还有机会吗?
为了根本性改变DeFi的安全现状,我们有必要针对新式智能合约(比方DeFi、IoT)引入全新的安全机制。 这种安全机制有必要要能进行模型层的剖析,有必要能够习惯新式合约的开展,尽量做到在进犯时阻拦,而非在进犯后预警。CertiK团队正在研制基于CertiKChain的新式安全DeFi机制——CeDeFi(CertifiedDeFi)——即可信DeFi,信任可以在未来彻底改变当时被迫的安全现状。
- 进犯还原
以下午11点对Balancer的进犯为例:
进程1:从dYdX处经过闪电贷方式借得WETH、DAI和USDC三种代币,数额分别是103067.20640667767、5410318.972365872和5737595.813492。
进程2:运用进程1中得到的代币,对三种代币(cETH、cDAI和cUSDC)进行铸币操作(mint)。
进程3:运用uniswap经过闪电贷方式,借得(borrow)并铸造(mint)cWBTC,cBAT代币。
进程4:携带取得的cWBTC与cBAT加入代币池,此刻进犯者拥有的cWBTC和cBAT的数目分别为4955.85562685和55144155.96523628。
进程5:分别用cWBTC和cBAT在该代币池中进行很多的买卖,然后触发Airdrop操作,将无归属的COMP分发到该代币池中。
进程6:调用gulp函数将当时得到的代币池中的数量设置为任意想要的数量。
进程7:使用flash loan还清之前的闪电贷。进犯结束。
具体进程可以看出,进犯者经过先借得很多代币,并经过铸造代币、很多买卖、触发空投机制等一系列操作,奇妙有利地势用了Compound协议的金融模型缝隙。整个进犯进程获利约11.5ETH,这样的进犯方法可谓精妙。
此时快讯
【众议员Waters呼吁美国立法者就加密相关问题举行会议】金色财经报道,众议员Maxine Waters呼吁美国立法者就加密相关问题举行会议,她希望立法者更深入地研究在该行业运营的公司,并研究如何对它们进行监管。她表示:“我想尝试组织国会小组,以便能够提出更多问题并更多地参与其中一些公司资产的实际情况。”
在听证会上,Waters向SEC创新和金融技术战略中心(FinHub)主任询问了可能举行的会议,并询问SEC是否会考虑与国会议员举行一些“特别会议”,讨论可能出现的问题和陷阱,并提供一些信息。
