一、事件概覽
美國東部標準時間5月12日上午9:44分,鏈必安-區塊鏈安全態勢感知平臺監測顯示,DeFi質押和流動性策略平臺xToken遭到攻擊,xBNTaBancor池以及xSNXaBalancer池立即被耗盡。據統計,此次xToken被黑事件造成約2500萬美元的損失。盡管在事件后,xToken團隊第一時間發布聲明,并針對被黑原因以及后續補救措施,作出積極回應;但成都鏈安·安全團隊認為此次xToken被黑事件具備相當程度的典型性,涉及到閃電貸攻擊、價格操控等黑客常用攻擊套路,因此立即介入分析,將xToken被黑事件的攻擊流程進行梳理,希望以此為鑒,為廣大DeFi項目方敲響警鐘。
QuickSwap因閃電貸攻擊損失22萬美元,將暫時關閉借貸市場:10月24日消息,據QuickSwap官方推特表示,暫時關閉借貸市場QuickSwap Lend,目前已因閃電貸攻擊損失22萬美元。本次攻擊是通過Curve預言機漏洞實現的,只有Market XYZ借貸市場遭受影響,QuickSwap合約仍是安全的。
此外,QuickSwap表示,由于該市場由QiDAO提供資金,故沒有用戶的資金受到損失。[2022/10/24 16:37:18]
基于Fantom的收入優化器Redemption遭遇閃電貸攻擊:金色財經消息,基于Fantom的收入優化器Redemption在其官方推特上表示,其正遭受一起有組織的閃電貸攻擊。該團隊稱正在處理這一情況,并將在獲得更多細節后更新。[2022/4/19 14:32:50]
二、事件分析
在本次被黑事件中,攻擊者共計在同一筆交易中利用了兩個典型攻擊套路。其一,黑客利用了閃電貸操作DEX中SNX的價格,進而影響了xSNX中的鑄幣,旨在達到套利的目的;其二,黑客利用了xBNT合約中的錯誤的權限配置,傳入預期外的路徑地址,從而達到利用空氣幣完成獲利的目的。
flash.sx閃電貸智能合約遭攻擊,項目方發起提案更改黑客EOS賬號權限以轉回資產:官方消息,EOS Nation旗下閃電貸被黑客攻擊后,項目方發起提案直接更改了黑客EOS賬號權限轉回資產。據悉,項目方發起的提案,把黑客地址權限改成了BP,BP通過后執行。此前消息,flash.sx閃電貸智能合約遭攻擊,120萬EOS和46.2萬USDT被盜。[2021/5/15 22:05:44]
穩定幣OUSD遭閃電貸攻擊 損失325萬美元:起源協議Origin Protocol穩定幣OUSD遭閃電貸攻擊,價格已跌至0.13美元。此次攻擊使得Origin Protocol共損失225萬美元的DAI和100萬美元的ETH。此后,Uniswap中OUSD流動性從16日的35萬美元跌至12萬美元。Aave創始人Stani Kulechov表示,“如果您是協議開發人員,請立即開始檢查代碼,以避免類似的快速貸款漏洞。”截至發稿時,Origin Dollar尚未回復問題以發表評論。(coindesk)[2020/11/17 21:01:25]
接下來,我們一起來還原一下黑客是如何利用“閃電貸攻擊+錯誤權限配置”,完成了整個攻擊流程的。準備工作1、攻擊者首先利用閃電貸借出大量資金;2、分別利用Aave的借貸功能和Sushiswap的DEX等功能,以獲取大量的SNX代幣;3、再在Uniswap大量拋售SNX,進而擾亂SNX在Uniswap的價格;攻擊開始4、使用少量的ETH獲得大量的xSNX;原理解釋:此次攻擊者利用了xSNX合約支持ETH和SNX進行兌換xSNX的機制。具體而言,當用戶傳入ETH后,合約會將用戶的ETH通過Uniswap兌換為等值的SNX之后再進行xSNX的兌換。由于攻擊者在“準備工作”中的1~3的操作,此時Uniswap中的ETH對SNX的價格是被操縱的,這就使得少量的ETH能夠兌換大量的SNX,進而再兌換大量的xSNX。
攻擊收尾5、攻擊者在Bancor中售賣獲利,由于Bancor中的價格并未受到影響,因此價格彼時仍然是正常的。此時攻擊者得以套利,之后歸還閃電貸;第二次攻擊開始6、再利用獲得的利潤來兌換大量的xBNT。原理解釋:此次攻擊者利用了xBNT合約支持ETH鑄幣xBNT的功能,合約會將ETH在Bancor中轉化為BNT后進行鑄造xBNT,但需要注意的是,此鑄造函數可以指定兌換路徑,即不需要兌換成BNT也可進行鑄造,這就使得攻擊者能夠任意指定兌換代幣的地址。
三、事件復盤
在xToken團隊的官方回應中,表達了對此次被黑事件造成的資產損失深感遺憾,并提到在未來即將推出的產品中會引入一項安全功能,以防止此類攻擊。但遺憾的是,由于尚未在整個產品系列中引入這一安全功能,由此導致2500萬美元資金損失。針對xToken被黑事件,成都鏈安·安全團隊在此提醒,隨著各大DeFi項目的不斷發展,整個DeFi世界將越來越多變,新型項目往往會與之前的DeFi項目在各個方面進行交互,如上文提及的Aave和DEX等等。因此,在開發新型DeFi項目之時,不光需要注意自身邏輯的安全與穩定,還要考慮到自身邏輯與利用到的基礎DeFi項目的整體邏輯是否合理。同時,我們建議,各大DeFi項目方也需要積極與第三方安全公司構建聯動機制,通過開展安全合作、建立安全防護機制,做好項目的前置預防工作與日常防護工作,時刻樹牢安全意識。
5月13號市場突然傳出利空消息:一是美國司法部和國稅局將對幣安展開調查;二是GBTC負溢價擴大至20.48%,創歷史新低.
1900/1/1 0:00:00加入PolkaWorld社區,共建Web3.0! PolkaWorld發布DOT國庫報告第二期!本報告旨在幫助波卡社區了解國庫資金使用情況,幫助生態項目更好地獲得波卡國庫的支持.
1900/1/1 0:00:00照片來自:FrancoisPicard/AgenceFrance-Presse/GettyInages美國時間5月7日,當地最大的輸油管道公司ColonialPipeline遭到黑客攻擊.
1900/1/1 0:00:00加入PolkaWorld社區,共建Web3.0! Plasm官方剛剛更新上周的周報,PolkaWorld第一時間翻譯并分享給大家:ShidenNetwork的新網站上線!https://shid.
1900/1/1 0:00:00幾個月來,NFT已成最接近現實世界的區塊鏈應用場景。一副以近7000萬美元成交的NFT藝術畫作,不僅讓藝術家Beeple一夜成名,也讓NFT概念成功出圈,成為了2021年最被看好的概念版塊.
1900/1/1 0:00:00文丨王林編輯丨潘心怡疫情剛有所好轉,美國人民又陷入“漲”字魔咒。牛肉暴漲25%、衛生紙暴漲超15%、核心城市房價暴漲20%,從前200美元就可以采購的食物現在需要300多美元.
1900/1/1 0:00:00