鴕鳥區塊鏈

SharkTeam獨家分析 | 閃電貸攻擊:Twindex被黑事件分析

SharkTeam 2021-10-07 08:30
摘要:

BSC合成資產交易平臺Twindex被黑事件分析

北京時間10月2日,BSC上合成資產交易平臺Twindex遭受閃電貸攻擊。SharkTeam第一時間對此事件進行了攻擊分析和技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。

圖片1.png

一、事件分析

1.攻擊者通過閃電貸從Twindex LP Token中閃電兌換1780k TWX以及798k KUSD.

圖片2.png

2. 鑄造KUSD以及TWX

圖片3.png

圖片4.png

3. 將TWX兌換成BUSD

圖片5.png

4. 閃電貸還款

圖片6.png

5. 將TWX兌換成DOPX,最后兌換為KUSD

圖片7.png

圖片8.png

6. 將KUSD兌換為DOPX以及USDC

圖片9.png

7. 將獲取的DOPX兌換為BUSD和USDC,并轉賬到攻擊者賬戶

圖片10.png

在整個攻擊過程中,StablePoolOracle 合約雖然使用了 TWAP 來計算 KUSD 的價值,但是 CollateralReserve合約在計算 ECR 的時候,會放大閃電貸的影響,導致鑄造TWX發生錯誤。

StablePoolOracle合約:0x3d379d3F021c36173c14a0a77923Ee6fa0cD0b0F

圖片11.png 

CollateralReserve代理合約:0x40Ea52769FfaBa9a171d83f9f34972058314F223,

圖片12.png 

圖片13.png 

二、安全建議

此次事件是又一次與閃電貸有關的安全事件,DeFi項目的業務邏輯設計復雜,涉及的經濟學計算和參數較多,卻不同項目和協議之間可組合性極其豐富,很難預測,非常容易出現安全漏洞。如下表,利用閃電貸這種新型產品進行攻擊的DeFi事件在過去的一年里層出不窮,已增加到42起。通常閃電貸攻擊包括“哄抬套利”、“操縱預言機”、“重入攻擊”和“技術漏洞”四種,本次屬于基于利用“技術漏洞”進行的閃電貸攻擊。

圖片14.png 

SharkTeam提醒您,在涉足區塊鏈項目時請提高警惕,選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,切不可將您的資產置于風險之中,淪為黑客的提款機。而作為項目方,智能合約安全關系用戶的財產安全,至關重要!區塊鏈項目方應與專業的安全審計公司合作,進行多輪審計,避免合約中的狀態和計算錯誤,為用戶的數字資產安全和項目本身安全提供保障。

SharkTeam作為領先的區塊鏈安全服務團隊,為開發者提供智能合約審計服務。智能合約審計服務由人工審計和自動化審計構成,滿足不同客戶需求,獨家實現覆蓋高級語言層、虛擬機層、區塊鏈層、業務邏輯層四個方面近兩百項審計內容,全面保障智能合約安全。

圖片15.png

==

和2萬人一起加入鴕鳥社群

添加QQ群:645991580

添加TG群:鴕鳥中文社區 https://t.me/tuoniaox 

聲明: 鴕鳥區塊鏈所有發布內容均為原創或授權發布,如需轉載,請務必注明文章作者以及來源:鴕鳥區塊鏈(微信公眾號:MyTuoniao),任何不尊重原創的行為鴕鳥區塊鏈都將進行責任追究!鴕鳥區塊鏈報道和發布內容,不構成任何投資建議。

SharkTeam

——

65 篇 作品
彩票游戏