据PeckShield态势感知平台数据显示,过去一个月,整个区块链生态共生46起较为突出的安全事件。涉及DeFi相关25起、交易所相关4起、勒索相关3起,欺诈事件10起,钱包相关2起,智能合约相关2起。
据PeckShield「派盾」统计数据显示,2021年5月共计发生25起与DeFi相关的安全事件,损失金额约2.8亿美元,其中,闪电贷攻击约11起,在BSC链上发生的与DeFi相关的安全事件15起,在以太坊链上的3起,在EOS上的1起。
直播|小喵 > NFT的几点思考以及和分布式存储的结合点:金色财经 · 直播主办的《 币圈 “后浪” 仙女直播周》第11期15:00准时开始,本期“后浪”仙女Beep币扑的创始人小喵将在直播间聊聊“NFT的几点思考以及和分布式存储的结合点”,请扫码移步收听![2020/8/5]
闪电贷攻击频现,从去年的以太坊转移到了今年大热的BSC上,不少人将“闪电贷”解读为“作恶的源头”“建立在DeFi之上的核弹”“攻击者空手套白狼的本金”。
声音 | 广州省青联委员:支撑比特币主体是用长线思维思考问题的人:5月31日,广州省青联委员戴斌在微博平台发文表示,比特币其实没有任何实际价值,也不是货币。但是比特币是靠认可它的人用信仰支撑的。目前已挖掘出来的1700万比特币(总量2100万枚),有1050万枚在最近一年是完全没有移动过(即没有交易过),所以支撑它的主体都是一些用长线思维思考问题的人[2019/5/31]
实际上,这些言论是对闪电贷的误读,闪电贷只是利用区块链技术,将传统借贷市场无法实现的事情带来一种新的可能。理论上,闪电贷借贷允许用户通过无抵押的方式借出流动性池内的所有通证,并要求用户在进行一系列互换抵押清算操作之后、交易结束之前归还所借通证以及固定的借贷成本。
金色财经现场报道 快的打车创始人陈伟星:区块链带来的改变 需要更深层次的思考利弊:金色财经现场报道,在4月3日举办的2018年世界区块链峰会现场,快的打车创始人陈伟星表示,若将法定货币上链,货币的发行直接由央行来进行,那么银行就没有存在的意义了,若股票上链,那么将去除整个中介。但是如果这样做,产生的影响是否能在我们接受范围之内,能否真正激励社会进一步发展,这是需要考虑的问题。[2018/4/3]
在BSC首次出现的闪电贷攻击是5月2日,PeckShield「派盾」通过追踪和分析发现,DeFi协议?SpartanPotocol?遭到闪电贷攻击。之后闪电贷攻击出现在BSC链上的频率呈上升趋势,包括?PancakeBunny、BoggedFinance、AutoShark、BurgerSwap、JulSwap。
赵鹞:政府部门是否应该大胆的鼓励推广区块链需要深入思考:今日,中国政法大学金融创新与互联网金融法治研究中心副秘书长、中国社科院金融研究所支付清算研究中心特约研究员赵鹞发表文章称,区块链技术本身的价值中立性并不会带来基于区块链的经济社会活动的价值中立,当我们还没有准备好如何应对区块链大规模应用所产生的新的、深层次的社会、经济、金融风险时,政府部门是否应该大胆的鼓励、推广,这是需要深入思考的。就好比核能发电,我们没有完全掌握安全、可控的核聚变技术就能用于生产发电吗?显然是不可能的。所以,面对区块链、人工智能等各种破坏性创新技术的推广应用,特别是金融科技的发展,政府、学界、业界和媒体要头脑冷静,切莫用“不可控核聚变发电”。[2018/2/27]
PeckShield「派盾」观察发现,这些闪电贷攻击手法与以太坊上曾出现的闪电贷攻击大同小异,只是从以太坊转移到BSC。随着年初BSC凭借低手续费、出块速度快等优势吸引了一批原以太坊上的DeFi协议和Fork以太坊上的DeFi协议,DeFi的生态日益丰富,绑定在BSC上的资产也越来越多,这也使其成为攻击者睥睨的「收割场」。
从上述6个闪电贷攻击案例中,我们发现大部分攻击与之前发生在以太坊上的攻击十分相似。
BurgerSwap与OUSD的攻击手法有异曲同工之妙。基于BSC的BurgerSwap和基于以太坊上?OUSD?的闪电贷+重入攻击有相似之处,攻击者都是先从提供闪电兑换的去中心化交易所借出一笔闪电贷,再在智能合约中存入假币和原生Token,并在此步骤通过重入攻击来攻击合约,最后归还闪电贷完成攻击。
操纵CurveyPool的闪电贷攻击在BSC上重现。5月30日,BSC链上结合多策略收益优化的AMM协议BeltFinance遭到闪电贷攻击,PeckShield「派盾」通过追踪和分析发现,此次攻击源于攻击者通过重复买入卖出BUSD,利用bEllipsisBUSD策略余额计算中的漏洞操纵beltBUSD的价格进行获利。
值得注意的是,Ellipsis是以太坊上DeFi协议Curve授权Fork的项目,多次操纵CurveyPool的价格,以套取稳定币价差的套利事件重现,ForkCurve的潘多拉魔盒是否已经打开?
综上,这些重现的闪电贷攻击都有迹可循,并非没有防御的办法。??
PeckShield「派盾」相关安全负责人表示:“协议开发者不仅要读懂Fork的DeFi协议,还要读懂自己的协议,协议的乐高性不是简单的拼接,而是在完全理解原协议背后的逻辑进行组合。目前对于闪电贷攻击并非没有解决的办法。我们发现攻击者多从已知的漏洞下手,要做的就是在协议上线前做好静态审计,排除已知的漏洞;当其他协议遭到攻击时,自查代码,排除同源漏洞;研究以往的案例,定期做动态审计,避免漏洞重现。除了寻求专业代码审计团队的帮助,还需引入第三方安全公司的威胁感知情报和数据态势情报服务,完善防御系统。在攻击发生时,确保第一时间感知并及时采取应对措施。”
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。