2020年,闪电贷进犯频发,成为安全事故中的“新常态”。
2021年,关于黑客来说,闪电贷进犯看起来依旧是“盛宠不衰”。
北京时间2月9日,CertiK安全技能团队发现智能DeFi收益聚合器BT.Finance遭受黑客进犯。
BT.Finance已暂时停止了向Curve.fi存款,以避免再次被进犯。受进犯的战略包含ETH、USDC和USDT,其他战略不受影响。
BT.Finance表明,有用于稳妥和补偿的办理资金,为了出资者和DeFi的杰出开展,期望黑客能够将资金偿还。
此外,BT.Finance提款费用维护使这次进犯的丢失减少了近14万美元。ICO Analytics 对此表明,受影响资金约为150万美元。
CertiK安全技能团队立即打开分析,现将进犯流程细节分析如下:
-
进犯者首先从 dydx 中使用闪电贷借出约100000个ETH。
-
进犯者将大约57000个ETH存到 Curve sETH池中。
-
进犯者从 Curve sETH池中取出sETH,因为存入了很多的ETH,导致sETH的价格上升,此刻进犯者取出了约35000个sETH。
-
进犯者将大约4340个ETH存入bt.finance ETH战略池中。
-
进犯者调用earn函数。
-
进犯者将过程3中取出的sETH悉数存入Curve sETH池中并取出ETH,最后触发 bt.finance ETH战略池的withdraw函数,取出悉数存入该池中的ETH。
-
重复上述 2-5 过程 5 次,并偿还闪电贷,完成获利。
进犯者单次进犯进行的买卖
进犯者进行了五次相同的进犯
安全建议
高收益必定伴随着高风险。
区块链的每一个应用版块几乎都包含了智能合约,而针对底层代码和设计模式的安全审计是维护项目的首要之事。
CertiK再次建议项目方注意规避风险,出资者在出资前认准项目是否具有完好的安全检查及后续的安全保障。
截止到2020年底,CertiK现已进行了超过369次的安全审计,审计了超过198,000行代码,并维护了价值超过100亿美元的加密资产。
参考链接
0xc71cea6fa00d11e98f6733ee8740f239cb37b11dec29e7cf85d7a4077977fa65
https://twitter.com/doug_storming/status/1358896348276391939?s=20
视野开拓
中国可以使一个经常项目顺差国也可以是一个经常项目逆差国——这取决于中国国民储蓄率和投资率的对比关系。但中国不应该是一个“双顺差”国。中国可以有投资收益顺差也可以有投资收益逆差。但中国不应该在是净债权国的同时,却保持投资收益逆差。在外资流入和外资投资收益给定的条件下,要想扭转投资收益逆差的局面,中国必须扩大对外投资、并提高对外投资的收益率。 但是,在国内金融市场不发达、产权不清、企业公司治理结构十分薄弱的情况下,中国政府又如何能放弃资本管制,放手让企业进行对外投资,金融机构购买外国金融资产?中国目前面临的两难境地充分揭示了一个基本矛盾:改革相对于开放的严重滞后。改革和开放是中国经济增长的两个轮子,如果一快一慢会发生翻车。开放可以促进改革,但并不能代替改革。必须痛下决心加速改革,否则,中国将无法改善资源配置状况,将无法实现经济的平衡稳定增长。-《见证失衡》
