2020年,闪电贷进犯频发,成为安全事故中的“新常态”。
2021年,关于黑客来说,闪电贷进犯看起来依旧是“盛宠不衰”。
北京时间2月9日,CertiK安全技能团队发现智能DeFi收益聚合器BT.Finance遭受黑客进犯。
BT.Finance已暂时停止了向Curve.fi存款,以避免再次被进犯。受进犯的战略包括ETH、USDC和USDT,其他战略不受影响。
BT.Finance表示,有用于保险和赔偿的管理资金,为了投资者和DeFi的良好发展,期望黑客能够将资金归还。
此外,BT.Finance提款费用维护使这次进犯的丢失减少了近14万美元。ICO Analytics 对此表示,受影响资金约为150万美元。
CertiK安全技能团队当即打开剖析,现将进犯流程细节剖析如下:
-
进犯者首先从 dydx 中使用闪电贷借出约100000个ETH。
-
进犯者将大约57000个ETH存到 Curve sETH池中。
-
进犯者从 Curve sETH池中取出sETH,由于存入了很多的ETH,导致sETH的价格上升,此时进犯者取出了约35000个sETH。
-
进犯者将大约4340个ETH存入bt.finance ETH战略池中。
-
进犯者调用earn函数。
-
进犯者将步骤3中取出的sETH悉数存入Curve sETH池中并取出ETH,最终触发 bt.finance ETH战略池的withdraw函数,取出悉数存入该池中的ETH。
-
重复上述 2-5 步骤 5 次,并归还闪电贷,完成获利。
进犯者单次进犯进行的交易
进犯者进行了五次相同的进犯
安全建议
高收益必定伴随着高风险。
区块链的每一个应用版块几乎都包含了智能合约,而针对底层代码和规划形式的安全审计是维护项目的首要之事。
CertiK再次建议项目方注意规避风险,投资者在投资前认准项目是否具备完整的安全审查及后续的安全保障。
截止到2020年底,CertiK现已进行了超过369次的安全审计,审计了超过198,000行代码,并维护了价值超过100亿美元的加密财物。
参考链接
https://ethtx.info/mainnet/0xc71cea6fa00d11e98f6733ee8740f239cb37b11dec29e7cf85d7a4077977fa65
https://twitter.com/doug_storming/status/1358896348276391939?s=20
视野开拓
要弄清楚这人学派和这位作者的历史背景(根源性),因为每种思潮不会只有单一起源,必然有复杂多元的根底。-《经济思想史的趣味》