当前位置:首页DEFIdefi项目年度财务闪贷攻击分析

defi项目年度财务闪贷攻击分析

很大程度上源于项目方潜在的合约漏洞未得到全面的安全排查,进而导致闪电贷攻击事件的发生。

defi项目年度财务闪贷攻击分析

1、 活动概述

北京时间2021年2月5日消息,据北京时间2月5日消息,DeFi知名项目【beosin osint】舆情监测,年融遭遇闪电贷款攻击。

总之,这种攻击的具体方法是攻击者利用闪贷借入巨额资金,然后进行循环套利。根据成都beosin安全团队的响应和分析,本次攻击的合同为yvalut+曲线池。

2、 事件分析

1攻击者将Dai存储在yvalue合约中,并调用earn触发yvalut使用Dai向流动性池添加流动性,如下图所示:

defi项目年度财务闪贷攻击分析1上图中的红色方框显示,在制作硬币时,您需要阅读合同中的Dai余额。但是,由于战略合同中的Dai已抵押给曲线合同以获取利润,您只能通过价值转换计算曲线代币可交换的Dai金额。

2攻击者使用借入资金向流动性池中添加流动性,使用USDT获得曲线代币,如下图所示:

defi项目年度财务闪贷攻击分析2

值得注意的是,攻击者向池中注入了一个USDT。由于池的特性,我们知道当代币的内容增加时,其相对价格也会降低。

3攻击者取出存储在yvalut合同中的Dai,如下图所示:

defi项目年度财务闪贷攻击分析3

根据#2,由于此时池中USDT的含量增加,Dai的相对价格增加,导致攻击者持有的曲线代币转换成的Dai相对减少,池中会残留少量的Dai。

4攻击者指定与添加流动性以移除流动性时相同的USDT数。请注意,由于Dai的一部分在#3处被拿走,USDT的价格在#2处下降,因此曲线代币的剩余部分被拿走

defi项目年度财务闪贷攻击分析4

这样,攻击者就可以消耗Dai并获得曲线代币。

经过多次循环后,攻击者获取了大量曲线代币,并将Dai代币放入曲线契约中。在整个攻击过程结束时,攻击者使用曲线代币交换Dai/USDC。

这种兑换不是美元兑美元的兑换。即使此时的傣族成分比攻击前高,也会按同样的比例进行交换。也就是说,攻击者进入曲线池的Dai代币越多,也会分发给攻击者。

下面,让我们看看攻击者攻击的第一步,如下图所示:

defi项目年度财务闪贷攻击分析5

攻击者使用闪贷向资金池中添加大量流动性,这导致这些额外的Dai最终将大部分分配给攻击者。

除了这部分损失,攻击者还获得了更多的曲线代币,从而获利。

3、 安全建议

针对这一事件,成都博信安全团队认为,主要是由于项目方潜在的合同漏洞没有得到充分调查,导致了闪电贷款攻击事件的发生。

在此,成都链安需要提醒区块链生态项目方,项目建成后千万不要掉以轻心,做好日常安全排查和安全加固工作,争取第三方安全公司的力量,并建立一套安全防护机制,防止突发事件的发生。

温馨提示:

文章标题:defi项目年度财务闪贷攻击分析

文章链接:https://www.btchangqing.cn/190653.html

更新时间:2022年11月19日

本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。

区块链

为什么比特币涨到10万美元与大多数人无关?

2021-2-6 1:17:49

区块链行情

自2017年2月以来,比特币在四年内增长了37倍

2021-2-6 1:40:35

9 条回复 A文章作者 M管理员
  1. Zhu
  2. omom

    再不拉盘,矿工都死完了。。比特币都崩盘了。。

  3. 佳房

    嘿嘿区块链

  4. Ryna

    当时庆幸100w刀资产在别的平台,现在能提币了,又懊悔为什么不放在okex,本来躺着也能赚个10w刀,下次如果还有这样的事,我一定要告诉自己,全仓放okex!

  5. SheKnows

    天啊.区块链

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索