这一周,遭到闪电贷攻击的DeFi协议的币价,就像5月的天气--说崩就崩。在眼下,频繁的闪电贷攻击再次上演,一周接连几个协议的代币价格险些归零,涉及到的损失金额数百上千万,DeFi协议开发者真的在频遭攻击后提升对代码安全的重视了吗?
北京时间5月24日,PeckShield「派盾」预警显示,Fork收益聚合器PancakeBunny的DeFi协议AutoSharkFinance遭到闪电贷攻击,受攻击事件的影响,Shark的价格闪崩,跌幅短时达到99%。
Maxar与Blackshark.ai合作推出用于元宇宙等应用的3D数字孪生解决方案:2月27日消息,Maxar Technologies发布了SYNTH3D,这是一种用于模拟、元宇宙和VR应用的数字孪生技术。该3D数字孪生解决方案由Maxar与人工智能初创公司Blackshark.ai合作开发,这一最新产品将帮助创作者模拟并将真实世界的环境带入元宇宙和虚拟现实(VR)应用程序。(NFTGators)[2023/2/27 12:31:31]
PeckShield「派盾」第一时间追踪并分析发现,此次攻击手法与5天前遭到闪电贷攻击的PancakeBunny的攻击手段相似。
ShadowsNetwork完成164万美元融资:3月1日消息,波卡生态合成资产发行协议ShadowsNetwork完成164万美元融资,本次融资由Alphabit、A195Capital、AU21Capital、Bitcoin.com、AriesLabs、BlocksyncVentures、Candaq、ChainCapital、ConsensuLab、CryptomeriaCapital、DFG、DuckDAO、DAOVentures、GBV、Innovion、JRRCrypto、MasterVentures、NGCVentures、OnemaxCapital、OasisCapital、PolkaFund、RioFund、WaterdripCapital、3Commas等数十家等投资机构共同参与。ShadowsNetwork是基于Substrate开发的DeFi合成资产发行协议。此前,ShadowsNetwork已获得Web3基金会Grant,并将于近期启动流动性挖矿。[2021/3/1 18:03:19]
据AutoSharkFinance介绍,它基于BSC链上交易量Top3?的去中心化交易所PantherSwap,而非PancakeSwap,这使得它幸免于PancakeBunny的攻击。
JustSwap白名单项目SharkTron跑路,损失3.66亿至4亿枚TRX:DeFi项目SharkTron的开发者据称窃取1000万美元的TRX。社区指责SharkTron匿名开发者是退出局,已经卷走数亿枚TRX跑路。虽然具体的盗窃金额仍不得而知,但推特用户报告称损失3.66亿至4亿枚TRX(价值约1000万美元)。
波场基金会官方推特账户证实了此事,并已经联系币安共同追查罪犯者和被盗资金。虽然币安已经冻结一部分资金,但其他交易所也可能参与追讨这笔资金。该团队建议受害者向当地警察提交报告。
一些用户声称,SharkToken是波场去中心化交易所JustSwap的白名单项目。推特用户曾提醒波场创始人孙宇晨该项目的欺诈性质,甚至要求他屏蔽匿名开发人员的钱包。但是,孙宇晨没有理会这些警告。一些人甚至指责孙宇晨直接参与了这场局;然而,这些指控没有得到事实的证实。(FXStreet)[2020/11/10 12:12:07]
用户可在PantherSwap上做市,获取的LP代币凭证,可以放入AutoSharkFinance中产生复利收益。不幸的是,它没有逃过ForkPancakeBunny?代码带来的同源漏洞攻击。
PeckShield「派盾」简述攻击过程:
攻击者从PancakeSwap借出10万BNB的闪电贷,并将其中5万BNB兑换为SHARKtoken,将剩余的5万BNB和兑换的SHARKtoken存入PantherSwap中增加流动性,获得对应的LPToken;调用getReward()函数,流动性大量注入,抬高了LPtoken的价值,攻击者获得奖励1亿SHARK的奖励,攻击者抽离流动性后返还借出的闪电贷,完成攻击。随后,攻击者通过Nerve跨链桥将它们分批次转换为ETH,PeckShield「派盾」旗下的反态势感知系统CoinHolmes将持续监控转移的资产动态。
在PancakeBunny遭到闪电贷攻击后,AutoSharkFinance曾发文分析PancakeBunny的攻击原理,并强调了他们对安全的重视度:“我们共做了4次代码审计,其中2次正在进行中。”
同类DeFi协议被攻击后,协议开发者有没有真的及时检查自己的合约是否也存在类似的漏洞?是否提升了对于协议安全的重视度?从AutoSharkFinance被攻击的事件来看,似乎还远远不够。
PeckShield「派盾」相关安全负责人表示:“从已知的漏洞下手是攻击者在尚在发展的DeFi领域常用的觅食方法,对于DeFi协议安全的重视,不是嘴上说说而已,而是要做到吾日三省代码:协议上线前有没有做静态审计?其他协议遭到攻击后,有没有自查代码,检查是否出现类似漏洞?交互的协议有没有安全风险?”
此外,PeckShield「派盾」提示投资者,在某一DeFi协议遭到攻击后,需加强对同类协议的关注,避免同源风险,当遭到攻击后其币价发生暴跌时,建议投资者不要轻易去抢反弹
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。