闪电贷攻击 + 错误权限配置 2500万美元付诸东流

一、事件概览

美国东部标准时间5月12日上午9:44分,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)监测显示,DeFi质押和流动性策略平台xToken遭到攻击,xBNTa Bancor池以及xSNXa Balancer池立即被耗尽。据统计,此次xToken被黑事件造成约2500万美元的损失。

尽管在事件后,xToken团队第一时间发布声明,并针对被黑原因以及后续补救措施,作出积极回应;但成都链安·安全团队认为此次xToken被黑事件具备相当程度的典型性,涉及到闪电贷攻击、价格操控等黑客常用攻击套路,因此立即介入分析,将xToken被黑事件的攻击流程进行梳理,希望以此为鉴,为广大DeFi项目方敲响警钟。

Mee6:员工帐户遭入侵导致被用来发布虚假信息,目前已解决:5月19日,官方消息,Mee6表示,系统没有技术漏洞,Mee6被用来发布虚假信息是因为一名员工的帐户遭到入侵。该问题现已解决,我们已采取所有措施确保它不再发生。

此前消息,Axie Discord主服务器上的Mee6机器人遭攻击发布虚假铸造链接,许多安装了Mee6机器人的服务器都发生了这种情况。Moonbirds、PROOF、RTFKT、Memeland等多个NFT项目的Discord疑似遭遇攻击。[2022/5/19 3:27:38]

二、事件分析

在本次被黑事件中,攻击者共计在同一笔交易中利用了两个典型攻击套路。

其一,黑客利用了闪电贷操作DEX中SNX的价格,进而影响了xSNX中的铸币,旨在达到套利的目的;

其二,黑客利用了xBNT合约中的错误的权限配置,传入预期外的路径地址,从而达到利用空气币完成获利的目的。

Compound总法律顾问:财政部希望通过基础设施法案 \"捕获DeFi\":8月18日消息,Compound总法律顾问JakeChervinsky认为,在最后一刻添加到美国基础设施法案中的加密货币条款旨在“捕获DeFi”。Chervinsky近期在播客节目中表示,行业被基础设施法案的加密税收条款“暗算”了。尽管Chervinsky指出此前围绕基础设施法案的讨论“与加密无关”,但他将更多险恶动机归因于财政部在影响立法过程中的作用。他承认自己的说法可能属于“阴谋论”了,但暗示财政部或许正在寻找另一种方式来“沿用”前财政部长史蒂夫·努钦(SteveMnuchin)试图对自托管的加密钱包提出的苛刻报告要求。(Cointelegraph)[2021/8/18 22:21:44]

接下来,我们一起来还原一下黑客是如何利用“闪电贷攻击?+ 错误权限配置”,完成了整个攻击流程的。

?? ?准备工作

1、攻击者首先利用闪电贷借出大量资金;

2、分别利用Aave的借贷功能和Sushiswap的DEX等功能,以获取大量的SNX代币;

3、再在Uniswap大量抛售SNX,进而扰乱SNX在Uniswap的价格;

?? ?攻击开始

4、使用少量的ETH获得大量的xSNX;

原理解释:

此次攻击者利用了xSNX合约支持ETH和SNX进行兑换xSNX的机制。具体而言,当用户传入ETH后,合约会将用户的ETH通过Uniswap兑换为等值的SNX之后再进行xSNX的兑换。由于攻击者在“准备工作”中的1~3的操作,此时Uniswap中的ETH对SNX的价格是被操纵的,这就使得少量的ETH能够兑换大量的SNX,进而再兑换大量的xSNX。

?? ?攻击收尾

5、攻击者在Bancor中售卖获利,由于Bancor中的价格并未受到影响,因此价格彼时仍然是正常的。此时攻击者得以套利,之后归还闪电贷;

?? ?第二次攻击开始

6、再利用获得的利润来兑换大量的xBNT。

此次攻击者利用了xBNT合约支持ETH铸币xBNT的功能,合约会将ETH在Bancor中转化为BNT后进行铸造xBNT,但需要注意的是,此铸造函数可以指定兑换路径,即不需要兑换成BNT也可进行铸造,这就使得攻击者能够任意指定兑换代币的地址。

三、事件复盘

在xToken团队的官方回应中,表达了对此次被黑事件造成的资产损失深感遗憾,并提到在未来即将推出的产品中会引入一项安全功能,以防止此类攻击。但遗憾的是,由于尚未在整个产品系列中引入这一安全功能,由此导致2500万美元资金损失。

针对xToken被黑事件,成都链安·安全团队在此提醒,随着各大DeFi项目的不断发展,整个DeFi世界将越来越多变,新型项目往往会与之前的DeFi项目在各个方面进行交互,如上文提及的Aave和DEX等等。因此,在开发新型DeFi项目之时,不光需要注意自身逻辑的安全与稳定,还要考虑到自身逻辑与利用到的基础DeFi项目的整体逻辑是否合理。

同时,我们建议,各大DeFi项目方也需要积极与第三方安全公司构建联动机制,通过开展安全合作、建立安全防护机制,做好项目的前置预防工作与日常防护工作,时刻树牢安全意识。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

狗狗币第一季度DeFi:DeFi用户只占以太坊总地址的1%

2021年第一季度的关键词: 用户数量(增加) NFT(热度) 稳定币(新玩法) DeFi(解决高昂gas费的解决方案) 去中心化金融(DeFi)指的是从传统的集中式金融系统向以太坊区块链支持的点对点金融的转变。

火币下载比特币能耗备忘录:挖矿减少人类社会总碳排放 加速实现碳中和

近期,关于重新定义比特币的能源浪费和造成巨大环境破坏的争论再次引起了人们的关注。特斯拉CEO埃隆.马斯克周三在推特上说,特斯拉已经 "暂停使用比特币购买车辆",因为担心 "用于比特币开采的化石燃料迅速增加"。气候问题与比特币挖矿如何成正相关? 比特币诞生超过了十一年,它正逐渐获得更为广泛的机构和市场认可。

SANDDapp4月行业概述:DeFi热度依旧 NFT遇冷?

随着DeFi生态一如既往拔得头筹,2021年4月对于去中心化应用行业而言是令人振奋的月份,NFT市场的销售价格也不断突破新高。与此同时,加密货币继续达到顶峰。比特币达到了64846美元的历史新高,以太坊达到3605美元。 尽管以太坊Gas费到4月底有所下降,但就唯一活跃钱包而言,它已退至为第四大区块链。以太坊将其领导地位输给了三家截然不同的竞争对手。

比特币人类链上网络:链上身份证明

Web 2.0平台有许多缺点,但它为人类形成了一个新的、网络化的社会基础设施,或一个信任层,其中构建了无数的社会应用程序。?? 尽管最初很兴奋,但我们发现区块链并没有偏离很多规范太多。

[0:0ms0-6:494ms