北京时间6月23日,PeckShield「派盾」预警显示,BSC链上收益聚合器ElevenFinance中与Nerve相关的机池遭到闪电贷攻击。
PeckShield「派盾」通过追踪和分析发现,此次攻击源于ElevenFinance的Emergencyburn()计算余额错误,且未执行销毁机制,攻击者获利近460万美元。?
有趣的是,几个小时后,昨天刚从ImpossibleFinance薅得近50万美元的攻击者,利用ElevenFinance的漏洞,通过闪电贷攻击获利近52万美元。
两个鲸鱼总投票权占Sushi DAO支持转移交易费用计划的91%:金色财经报道,两个鲸鱼有效地决定了Sushi DAO投票,将SushiSwap去中心化交易所产生的所有费用直接转移到协议的国库。
此举意味着Sushi代币持有者将在一年左右的时间内不再从交易所的交易费用中获得奖励。这两个鲸鱼是风险投资机构Golden Tree的数字投资部门GoldenChain,以及与加密交易公司Cumberland密切相关的钱包。根据Snapshot投票页面的数据,他们总共贡献了1000万个sushipowah令牌(Sushi DAO治理令牌)来推动投票。他们的总投票权占支持该计划的1100万个代币的91%。(the block)[2022/12/20 21:55:01]
第一个攻击者创建了4个合约,进行了5次攻击。
MakerDAO披露stETH持仓详情及stETH清算价格:6月15日消息,MakerDAO披露协议持有stETH的数据详情:stETH抵押品约占所有DAI抵押品的3%,价值约2.6亿美元;WSTETH-A资金库锁定204,661.12WSTETH,价值2.432亿美元,8290万DAI总债务,293.42%的总体抵押;WSTETH-B资金库锁定9,014.31WSTETH,价值1070万美元,250万DAI总债务,424.42%的整体抵押。
Maker表示,对于WSTETH-A资金库,若stETH跌至892美元,价值3330万美元的stETH将被清算;若stETH跌至582美元,价值7460万美元的stETH将被清算。对于WSTETH-B资金库,若stETH跌至903美元,价值64.5万美元的stETH将被清算;若stETH跌至594美元,价值200万美元的stETH将被清算。[2022/6/15 4:27:22]
PeckShield以合约0x8b29为例简述攻击过程:
MakerDao稳定币Dai总量突破4亿枚:根据DaiStats数据显示,MakerDao稳定币Dai总量突破4亿枚。其中87.86%的Dai通过抵押ETH生成,13.55%的Dai通过抵押USDC生成,10.85%的Dai通过抵押WBTC生成。目前,MakerDAO中锁定了超过253万枚以太坊和7234枚比特币(WBTC)。[2020/8/10]
首先,攻击者从PancakeSwap中借出953,869.6BUSD,并将其中340,631.2BUSD兑换474,387.75NRV;
随后,攻击者将474,378.75Nerve和366,962BUSD在PancakeSwap中添加流动性,获得411,515.3LPtoken;
攻击者将411,515.3LPtoken放入ElevenFinance中与Nerve相关的机池获得411,515.311nrvbusdLPtoken;
当攻击者提取PancakeLPtoken时,ElevenNeverSellVault中的Emergencyburn()函数本应销毁11nrvbusdLPtoken换回PancakeLPtoken,但Emergencyburn()并未执行burn这个动作,使得攻击者利用此逻辑错误获利。
该攻击者又创建了0x01ea合约,借出30.9BTCB;0xc0ef合约借出285.66ETH以及0x87E9借出两笔闪电贷2,411,889.87BUSD和7,693BUSD进行攻击。
攻击者通过利用集成的第三方合约功能进行攻击,这类问题较难检测到,例如,此前PeckShield「派盾」帮助RariCapital避免更大损失案例一样,在定位漏洞根源时,由于合约交互容易干扰安全人员的判断,PeckShield「派盾」建议,开发人员应谨慎与任意第三方协议进行交互。
DeFi协议开发人员在集成第三方协议并将其部署到生产运行之前,应充分了解合约及其分支项目的运行情况。DeFi协议开发人员应在项目上线前,先将其部署在测试网上进行测试并及时检查交易记录中的异常情况。
“太快了,攻击者从合约部署,到完成攻击,甚至到再次发起攻击,这一系列操作有时候快得让人有些反应不过来。”PeckShield「派盾」安全人员表示,“因此,事前审计,事中响应,事后提出及时有效的安全方案都是缺一不可的,谁都不知道攻击者会不会在下一秒发起攻击。”
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。