据慢雾区消息,2021年2月13日,以太坊DeFiAlphaFinance遭受攻击,慢雾安全团队第一时间跟进分析,并以简讯的形式分享给大家,供大家研究。
1.攻击者用一部分的WETH在UniswapWETH-UNI池子上添加流动性,再把一部分的WETH兑换成sUSD并在Cream中添加流动性获得cySUSD凭证。
2.攻击者通过AlphaHomoraV2从IronBank借出sUSD,并将LP抵押到WERC20中为后面开杠杆做准备。
3.攻击者再通过AlphaHomoraV2将上一步借出的sUSD归还给IronBank。
4.上面几步似乎只是试探。
5.随后攻击者开始利用AlphaHomoraV2的杠杆借贷从IronBank中循环借出sUSD,每次借出数量都是上一次的一倍,最后将借出的sUSD再转到Cream中添加流动性获得cySUSD凭证。
腾讯新闻《潜望》:香港合规交易所OSL决定退出,并于春节后寻求买家收购:金色财经报道,腾讯新闻《潜望》从不同的信源获悉,香港本地现有的合规交易所之一OSL已经决定退出,并于今年春节后在市场上四处寻找买家收购,但至今都无人接盘。截至发稿,该消息暂未能获得OSL置评。该交易所隶属于港股上市公司BC科技集团。该公司2022年的财报显示,公司亏损持续加大,其中OSL于2022年的加密货币收入为7148万港元,仅为前一年2.7亿港元的约三分之一不到。其中一个信源对腾讯新闻《潜望》表示,该公司之前就有炒壳嫌疑,股价曾经因装入区块链概念暴涨过60%。但如今,港股市场的壳已经毫无价值,且上市公司主要资产就是交易所。公开资料显示,该壳公司曾隶属于香港壳王高振顺,高依旧位列上市公司执行董事席位。[2023/7/5 22:18:33]
6.之后攻击者不满足于这种低效的杠杆循环借贷叠cySUSD的方式,开始使用闪电贷加快速度。
深圳元旦春节期间将发放2500万元数字人民币:金色财经报道,深圳中农工建交邮储六家大型商业银行将在元旦春节期间发放2500万元数字人民币,覆盖生活服务、大型商超、餐饮消费、零售超市、文体旅游等多个领域。[2022/1/1 8:18:39]
7.攻击者开始从AAVE中闪电贷借出180万USDC,并通过Curve将USDC兑换成sUSD,这时候攻击者就拿到了大量的sUSD了。
8.随后攻击者先用sUSD到Cream中添加流动性,并获得cySUSD凭证,再开始继续使用AlphaHomoraV2的杠杆借贷从IronBank中循环翻倍的借出sUSD,最后利用借出的sUSD去归还闪电贷。(偿还的闪电贷中有包含先前几步的一部分sUSD作为利息,因为最后一步借出的不足以还贷,但都是拿从Alpha借的去还的)
NBS理事会:NBS将支持NFT代币发行和交易 预计春节后推出试用版:1月17日消息,据NBS理事会官方消息,NBS将支持NFT交易功能,目前开发团队已经在进行相关开发工作,预计春节后推出试用版。NBS理事会表示:“届时NBS资产将具备更强的描述性与可拓展性,NBS的NFT所具备的特性之一就是NFT所有权与使用权的分离。如同我们拥有一间房子与一辆车,房子和车我们可以自己使用,也可以出租给别人使用,别人将拥有房子和车的一段时间使用权。当使用权与所有权分离之后,类似‘租赁’这一类的业务才能更好发展。人类社会经济发展的历史,从根本上看,就是资源流动性增加和资源不断优化的配置过程。NBS社区完全遵从市场经济规律,让社区自主地通过价格信号和财富效应来配置资源,从而促进经济发展。”[2021/1/17 16:22:54]
9.重复上一步,闪电贷借出1000万USDC,换成sUSD,先添加在Cream中,添加9,668,335的流动性拿到cySUSD,再继续杠杆借贷,最后翻倍到10,088,930应该基本把池子借空了。然后开始重复添加流动性,获取cySUSD。最后再去归还闪电贷。
分析 | 外媒:中国春节将影响数字货币交易量和价格:Ethereum World News网站于2月3日发表文章,分析了中国春节对比特币和其它数字货币的影响。文章得出了5点结论,分别是:1.中国人还会继续交易,但是交易量在节日期间下降;2.很多人会卖出数字货币,为旅行和度假准备资金;3.比特币和其它数字货币直到过年都不会有大幅波动;4.因为接下来的两周都是假期,市场会在接下来的两周继续保持不活跃的状态;5.春节结束前,比特币价格可能出现新的低点。[2019/2/4]
10.再闪电贷借出1000万,再重复添加流动性与借贷,获取cySUSD并归还闪电贷。
11.由于经过以上步骤攻击者已获得大量cySUSD,因此攻击者开始直接在Cream借出WETH、USDC、USDT、DAI、sUSD。
总结:攻击者使用闪电贷到AlphaFinance中进行杠杆借贷,并使用AlphaFinance本身的CreamIronBank额度来归还闪电贷,在这个过程中攻击者通过在Cream添加流动性获得了大量的cySUSD,使攻击者得以用这些cySUSD在CreamFinance中进行进一步的借贷。由于AlphaFinance的问题,导致了两个协议同时遭受了损失。
往期回顾
BitMart入驻慢雾区,发布「安全漏洞与威胁情报赏金计划」
引介|一种安全的LP价格的获取方法
千万美元损失背后的闪电贷攻击——yearnfinance被黑简析
如何通过恒定乘积黑掉SushiSwap?简析SushiSwap第二次被攻击始末
慢雾科技三周年啦!
慢雾导航
慢雾科技官网
https://www.slowmist.com/
慢雾区官网
https://slowmist.io/
慢雾GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
币乎
https://bihu.com/people/586104
知识星球
https://t.zsxq.com/Q3zNvvF
火星号
http://t.cn/AiRkv4Gz
链闻号
https://www.chainnews.com/u/958260692213.htm
免责声明:作为区块链信息平台,本站所发布文章仅代表作者个人观点,与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考,并非作为或被视为实际投资建议。
本文来源于非小号媒体平台:
慢雾科技
现已在非小号资讯平台发布68篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/9682875.html
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
盘点零知识证明代表性项目:如何影响和塑造区块链生态系统?
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。