鴕鳥區塊鏈

SharkTeam獨家分析 | 閃電貸攻擊:AutoSharkFin被黑事件分析

SharkTeam 2021-10-07 08:00
摘要:

FINS代幣斷崖式大跌,幾乎歸零。

北京時間10月2日,BSC上收益聚合平臺AutoSharkFin遭受閃電貸攻擊,攻擊者共獲利1338個BNB(共計58.1萬美元)。FINS代幣斷崖式大跌,幾乎歸零。這也是AutoShark在今年5月25日收到閃電貸之后,第二次受到閃電貸攻擊。

圖片1.png

SharkTeam第一時間對此事件進行了攻擊分析和技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。

一、事件分析

以其中一次為例簡述攻擊流程如下:

1. 攻擊者閃電貸借出10382BNB和430萬USDC;

2. 攻擊者將10382BNB和430萬USDC投入到USDC+BNB的交易對中,由于池中流動性比較低,黑客占據交易池大部分份額;

3. 黑客通過重復的存入和提取獲得了大量15K FINS代幣獎勵,最終移除流動性,完成閃電貸操作;

4. 黑客將15K FINS代幣質押,獲得257枚BNB。

黑客重復以上攻擊多次,共獲利1388枚BNB(約58萬美元)。

圖片2.png

由于AutoSharkFin平臺的USDC+BNB的交易池流動性比較低,使得攻擊者通過閃電貸獲取大量USDC、BNB,并投入到交易對中使其獲得大量的LP通證來獲得流動性的獎勵。通過不斷地存入和提取操作,獲得大量的FINS代幣獎勵,最終將獎勵的FINS投入到質押池中獲取大量BNB,最終攻擊者獲利58.1萬美元。事后,AutoSharkFin用近一百萬美元的費用進行了FINS代幣的回購,一定程度上穩定了市場和投資者信心。但代幣經濟學設計上的失誤和合約實現上的漏洞卻更加值得投資者關注。

二、安全建議

此次事件是又一次與閃電貸有關的安全事件,DeFi項目的業務邏輯設計復雜,涉及的經濟學計算和參數較多,卻不同項目和協議之間可組合性極其豐富,很難預測,非常容易出現安全漏洞。如下表,利用閃電貸這種新型產品進行攻擊的DeFi事件在過去的一年里層出不窮,已增加到43起。通常閃電貸攻擊包括“哄抬套利”、“操縱預言機”、“重入攻擊”和“技術漏洞”四種,本次屬于基于利用“操縱預言機”進行的閃電貸攻擊。

圖片3.png 

SharkTeam提醒您,在涉足區塊鏈項目時請提高警惕,選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,切不可將您的資產置于風險之中,淪為黑客的提款機。而作為項目方,智能合約安全關系用戶的財產安全,至關重要!區塊鏈項目方應與專業的安全審計公司合作,進行多輪審計,避免合約中的狀態和計算錯誤,為用戶的數字資產安全和項目本身安全提供保障。

SharkTeam作為領先的區塊鏈安全服務團隊,為開發者提供智能合約審計服務。智能合約審計服務由人工審計和自動化審計構成,滿足不同客戶需求,獨家實現覆蓋高級語言層、虛擬機層、區塊鏈層、業務邏輯層四個方面近兩百項審計內容,全面保障智能合約安全。

圖片15.png

==

和2萬人一起加入鴕鳥社群

添加QQ群:645991580

添加TG群:鴕鳥中文社區 https://t.me/tuoniaox 

聲明: 鴕鳥區塊鏈所有發布內容均為原創或授權發布,如需轉載,請務必注明文章作者以及來源:鴕鳥區塊鏈(微信公眾號:MyTuoniao),任何不尊重原創的行為鴕鳥區塊鏈都將進行責任追究!鴕鳥區塊鏈報道和發布內容,不構成任何投資建議。

SharkTeam

——

65 篇 作品
彩票游戏