比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

CER:Balancer再遭攻擊 DeFi還有未來嗎?_EFI

Author:

Time:1900/1/1 0:00:00

繼6月29日凌晨2點CertiK捕獲Balancer攻擊事件后《空手套以太:Balancer攻擊解析》, 北京時間6月29日下午8點整與11點23分,CertiK天網系統(Skynet) 再次檢查到兩起類似原理的Balancer DeFi合約異常,兩起異常分別發生在區塊數10360609與區塊數10361515。與29日單純利用合約漏洞的攻擊不同,這次黑客巧妙利用了Compund金融模型,無中生有了大量COMP代幣。明星DeFi項目,一日內連遭三次攻擊,讓支持者不禁擔憂起整個DeFi市場的未來。

天網掃描

事件概述

6月29日,攻擊者從dYdX閃電貸中借到代幣并鑄幣后,通過uniswap閃貸獲得cWBTC和cBAT代幣,然后將借得的代幣在Balancer代幣池中大量交易,從而觸發Compound協議的空投機制,獲得空投的COMP代幣,再使用Balancer有漏洞的gulp()函數更新代幣池數量后,取走所有代幣并歸還閃電貸。攻擊者相當于利用了Compound協議的金融模型、閃電貸和Balancer代碼漏洞,無中生有了COMP,總獲利約為11.5ETH。

Ancilia:ParaSpace被攻擊的根本原因發生在0xddde3合約的函數scaledBalanceOf()上:金色財經報道,據 Web3 網絡安全公司 Ancilia 報道,NFT 借貸協議 ParaSpace 被攻擊的根本原因發生在合約 0xddde38696fbe5d11497d72d8801f651642d62353 的函數 scaledBalanceOf() 上,該函數用于通過 supply() 函數計算用戶的抵押品。然而,通過在函數 getPooledApeByShares() 中操縱 APE 代幣的數量可以使 scaledBalanceOf() 返回一個大額值。用戶可以擁有大量抵押品,并使用它來借更多的資產。[2023/3/17 13:10:57]

CertiK攻擊者心理畫像

6月29日下午8點與11點的兩起攻擊使用了相同的手法并且使用了同一個收款地址,確認為一個團隊。雖然這兩次攻擊與29日凌晨2點的攻擊均利用了Balancer合約的gulp(),但是攻擊手段不同,后兩次攻擊利用了Compound的金融模型的漏洞而不是單純的代碼漏洞。另外,后兩次攻擊的獲利遠小于首次攻擊獲利,實施首次攻擊的黑客沒有再次攻擊的動機。

DFI.Money(YFII)發起關于如何分配Balancer獎勵提案:9月3日,聚合器項目DFI.Money(YFII)收到首批Balancer(BAL)獎勵,共計BAL 679.83個,價值21,814美元。該獎勵來源于YFII/DAI礦池,后續每周都將收到。關于獎勵如何分配,社區發起提案進行投票:放進循環挖礦池;換成yCRV給投票人激勵參與投票;注入社區基金。[2020/9/8]

CertiK判斷后兩次攻擊是在首次攻擊14小時后,利用類似原理實施的模仿攻擊。

DeFi安全新挑戰

這次的攻擊事件主要利用了金融模型設計上的漏洞,而不是代碼層面的漏洞。這種由DeFi市場孕育出的新型攻擊模式,讓大部分區塊鏈安全公司僅有的“代碼審計”服務變得毫無用處。

只針對代碼層面而不能對抽象模型進行分析的、傳統的安全技術完全應對不了DeFi帶來的新挑戰。而沒有模型層面保護的DeFi,只能淪為熟知DeFi金融模型的黑客的提款機。

BKEX Global將于2020年8月23日20:30上線AXIS:據BKEX Global公告,BKEX Global將于2020年8月23日20:30(UTC+8)上線AXIS(AXIS DEFI),開放交易對:AXIS/USDT。

AXIS DEFI致力建立一個全新的第三代DEFI的解決方案,成為第一個DEFI行業公鏈及其生態系統,將解決目前大部分DEFI項目依賴于以太坊的多個問題。AXIS公鏈的特性包括:跨鏈兼容性、提供金融專業機構級別的交易速度、并且會帶來華爾街級別的嵌入式熔斷機制,追加保證金機制,風險緩解等性能。[2020/8/22]

DeFi安全預警是弊大于利嗎?

這次的模仿攻擊,讓很多人對區塊鏈安全公司產生了質疑:安全公司的分析文章會不會教會更多人攻擊的方法?為什么各種安全預警沒有改善安全環境?我們真的還需要安全預警嗎?

CertiK的觀點是,不僅需要安全預警,還要做到更快更深入!

不同于傳統軟件系統,區塊鏈所有的交易、所有的合約調用都是公開透明的。攻擊事件發生后,區塊鏈上的交易記錄對于黑客而言就是最直白的教科書,區塊鏈安全公司要搶在模仿攻擊之前發布預警,保護相關公司。但是最近頻繁的攻擊事件,再一次證明安全預警是遠遠不夠的,并不能改變當前DeFi乃至整個區塊鏈的安全現狀。

Fundstrat Global:比特幣紐約會議召開在即 BTC或復制往年會議期上漲走勢:據彭博社消息,華爾街證券研究公司Fundstrat Global的研究主管在給客戶的一份報告中稱:下周,在紐約曼哈頓區將召開第四屆“比特幣紐約內部會議”,這次會議達成的共識或比往年更大,參會人數將達7000余人,相比去年的2750人翻了一倍有余。上一次,當參會人數翻倍時,BTC在會議期間上漲了69%,在隨后的兩個月里又上漲138%。而當下,BTC在會議之前回調,處于相對便宜的價格,為會議期間的漲勢奠定了基礎。[2018/5/8]

DeFi安全還有機會嗎?

為了根本性改變DeFi的安全現狀,我們必須針對新型智能合約(比如DeFi、IoT) 引入全新的安全機制。

這種安全機制必須要能進行模型層的分析,必須能夠適應新型合約的發展,盡量做到在攻擊時攔截,而非在攻擊后預警。CertiK團隊正在研發基于CertiK Chain的新型安全DeFi機制 —— CeDeFi (Certified DeFi)—— 即可信DeFi,相信可以在未來徹底改變當前被動的安全現狀。

攻擊還原

前摩根大通區塊鏈負責人Amber Baldet:區塊鏈的“極致主義”不會解決互聯網隱私問題:據coindesk消息,前摩根大通區塊鏈負責人Amber Baldet在“價值互聯網”討論會上表示,區塊鏈的“極致主義”不會解決互聯網隱私問題。她認為,必須以分散的方式做所有事情的極端主義有點謬誤。她解釋稱:“如果你想要私人的,安全的通信,(你應該)幾乎永遠不會使用區塊鏈。你需要短暫的,而不是不變的技術。”Baldet反而認為混合公開網絡可以提供更好的解決方案。她聲稱區塊鏈并不是隱私解決的方案,而基本上是信息安全產品。她的演講強調了區塊鏈和分布式賬本技術的多樣性,并強調在各種版本中沒有唯一的正確方法。她還評論稱,鑒于隱私和便利之間的平衡,人們總是選擇便利性。Baldet于四月初離開了摩根大通區塊鏈中心。[2018/4/24]

以下午11點對Balancer的攻擊為例:

步驟1:從dYdX處通過閃電貸形式借得WETH、DAI和USDC三種代幣,數額分別是103067.20640667767、5410318.972365872和5737595.813492。

步驟2:使用步驟1中得到的代幣,對三種代幣 (cETH、cDAI和cUSDC) 進行鑄幣操作 (mint)。

步驟3:使用uniswap通過閃電貸形式,借得 (borrow) 并鑄造 (mint) cWBTC,cBAT代幣。

步驟4:攜帶獲得的cWBTC與cBAT加入代幣池,此時攻擊者擁有的cWBTC和cBAT的數目分別為4955.85562685和55144155.96523628。

步驟5:分別用cWBTC和cBAT在該代幣池中進行大量的交易,從而觸發Airdrop操作,將無歸屬的COMP分發到該代幣池中。

步驟6:調用gulp()函數將當前的COMP數目同步到Balancer智能合約中,并將cWBTC、cBAT以及額外被加入代幣池中的COMP取出。退出代幣池時,攻擊者擁有的cWBTC和cBAT的數目同樣為4955.85562685和55144155.96523628。但是由于在代幣池中通過大量交易產生的額外COMP,攻擊者獲得了額外的COMP代幣。 此處攻擊者還可以選擇直接進入其他代幣池中,復用步驟1到步驟6的攻擊方法,獲得額外COMP代幣。

步驟7:償還uniswap和dYdX的閃電貸,離場。

步驟8:攻擊者仍舊可以采用同樣的方法(步驟1到步驟7),對其他代幣池發動攻擊。攻擊的機制類似,但是通過閃電貸借得和用來進行攻擊的代幣種類略有不同。

參考鏈接:

新聞:

https://cointelegraph.com/news/hacker-steals-balancers-comp-allowance-in-second-attack-within-24-hours

中文新聞:

https://www.chaindd.com/3330102.html

原始分析:

https://twitter.com/frenzy_hao/status/1277597671847411712

29日下午8點攻擊交易歷史記錄:

https://ethtx.info/mainnet/0xa519835c366bc77d93c9d3e433e653bfc46120688ad146b383f4dd93342cad29

29日下午11點攻擊交易歷史記錄:

https://ethtx.info/mainnet/0x70959fef9d7cc4643a0e885f66ec21732e9243ffd3773e4a9ea9b5ab669bab4d

了解更多

General Information: info@certik.org

Audit & Partnerships: bd@certik.org

Website: certik.org

Twitter: @certik.org

Telegram: t.me/certik.org

Medium:medium.com/certik

幣乎:bihu.com/people/1093109

Tags:CERBALDEFEFICERBERUS價格bal幣怎么樣DEFILANCER價格99DEFI

幣安app下載
區塊鏈:金色觀察丨Coinbase到底能不能順利上市?_likecoin幣值

金色財經 區塊鏈7月16日訊   作為最早拿到紐約金融服務部門加密許可牌照BitLicense的加密貨幣交易所之一的Coinbase,不僅在紐約州獲得了官方認證.

1900/1/1 0:00:00
EST:一文讀懂去中心化預言機 NEST 3.0:在博弈中形成價格并持續輸出價值_TOKEN

匿名團隊開發的去中心化預言機系統 NEST 在 7 月 13 日正式發布了 3.0 版本;與此同時,NEST 也正式對外開放,提供外部調用接口.

1900/1/1 0:00:00
DEF:6.30午間行情:區間已明確 可做高拋低吸_DeFi Coin Bonus

文章系金色財經專欄作者牛七的區塊鏈分析記供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別,謹防上當.

1900/1/1 0:00:00
比特幣:比特幣算力再創新高 頂級分析師預測BTC價格會隨之上漲_比特幣今日價格行情價格最新消息

盡管比特幣持續橫盤,但這一領先加密貨幣的哈希率(挖掘BTC區塊的算力度量)卻越來越高。CoinCorner的馬特?沃德(Matt Ward)指出,數據顯示,比特幣全網算力在7月13日剛剛創下歷史.

1900/1/1 0:00:00
EOS:近一周 EOS發展情況一覽_DAP

1、EOS 生態基本數據 目前為止: EOS抵押率為58.84%;EOS節點的實際投票率為41.

1900/1/1 0:00:00
KEY:7.13晚間行情:山寨爆發 大餅并未結束_SKE

文章系金色財經專欄作者幣圈北冥供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別,謹防上當.

1900/1/1 0:00:00
ads