本文由Certik原创,授权金色财经首发。
2020年,闪电贷攻击频发,成为安全事故中的“新常态”。
2021年,对于黑客来说,闪电贷攻击看起来依旧是“盛宠不衰”。
北京时间2月9日,CertiK安全技术团队发现智能DeFi收益聚合器BT.Finance遭受黑客攻击。
BT.Finance已暂时停止了向Curve.fi存款,以防止再次被攻击。受攻击的策略包括ETH、USDC和USDT,其他策略不受影响。
BT.Finance表示,有用于保险和赔偿的管理资金,为了投资者和DeFi的良好发展,希望黑客能够将资金归还。
以太坊社区成员发布改善EIP-1559拥堵收费不合理的解决方案:金色财经报道,以太坊社区成员Face-Shaver在太坊技术论坛ethresear.ch发布改善EIP-1559拥堵收费不合理的解决方案,社区成员表示,EIP-1559将在以太坊交易中引入协议费,并允许根据拥堵情况动态地调整区块大小。在链上拥堵时收取协议费是将MEV从矿工转移到ETH持有者而不伤害用户的有效方法。同时,灵活的区块大小使区块空间的分配更加有效。然而,在目前的收费结构下,错误的人可能最终为拥堵付费。一般来说,当用户拥堵一个区块时,是下一个区块的用户为拥堵付费。这是不可取的,有几个原因。1.这是不公平的; 2.它增加了拥堵;3.它加剧了Gas费的拍卖。
社区成员提出解决方案,建议当一个区块出现拥堵时,同一区块的用户要为拥堵付费,可以通过根据矿工在他的区块中使用的大小来收取费用来实现这一点。[2021/7/24 1:13:36]
此外,BT.Finance提款费用保护使这次攻击的损失减少了近14万美元。ICO Analytics 对此表示,受影响资金约为150万美元。
彭博社:杠杆和清算加剧本周加密货币的大幅下跌:据彭博社消息,杠杆和清算似乎加剧了本周加密货币的崩溃。Fundstrat创始人Tom Lee在暴跌后的一份报告中称,交易所提供的杠杆作用如此之大,以至于当加密货币下跌时,新交易员总是面临被迫抛售的风险。新加坡交易所Luno的业务发展主管Vijay Ayyar表示:“造成如此严重回落的原因是系统过载、清算等因素。与其他任何资产类别相比,加密货币仍然是一个‘狂野的西部’,在某些交易所,你可以以高达50-100倍的杠杆进行交易。”加密货币金融服务提供商Amber Group美洲负责人Jeffery Wang周三表示:“我们看到很多更高的杠杆头寸在短时间内被平仓。这是一个巨大的冲击,如果市场想要继续走高,可能有必要从过度杠杆化的头寸中去除一些泡沫。”[2021/5/20 22:25:01]
CertiK安全技术团队立即展开分析,现将攻击流程细节分析如下:
攻击者首先从 dydx 中使用闪电贷借出约100000个ETH。
攻击者将大约57000个ETH存到 Curve sETH池中。
攻击者从 Curve sETH池中取出sETH,由于存入了大量的ETH,导致sETH的价格上升,此时攻击者取出了约35000个sETH。
攻击者将大约4340个ETH存入bt.finance ETH策略池中。
攻击者调用earn函数。
攻击者将步骤3中取出的sETH全部存入Curve sETH池中并取出ETH,最后触发 bt.finance ETH策略池的withdraw函数,取出全部存入该池中的ETH。
重复上述 2-5 步骤 5 次,并归还闪电贷,完成获利。?
攻击者单次攻击进行的交易
攻击者进行了五次相同的攻击
高收益必定伴随着高风险。
区块链的每一个应用版块几乎都包含了智能合约,而针对底层代码和设计模式的安全审计是保护项目的首要之事。
CertiK再次建议项目方注意规避风险,投资者在投资前认准项目是否具备完整的安全审查及后续的安全保障。
截止到2020年底,CertiK已经进行了超过369次的安全审计,审计了超过198,000行代码,并保护了价值超过100亿美元的加密资产。
参考链接
https://ethtx.info/mainnet/0xc71cea6fa00d11e98f6733ee8740f239cb37b11dec29e7cf85d7a4077977fa65
https://twitter.com/doug_storming/status/1358896348276391939?s=20?
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。