一个“聪明的”交易者通过去中心化金融领域的各种协议,净赚了35万美元的巨额收益。
一套聪明的指令——所有指令都在一笔大额交易中执行——使某些人能够利用DeFi生态系统当前的弱点来获利。通过使用一些去中心化的金融工具和少量的价格操纵,他们能够获得大量的以太坊。
DeFi投资公司StakeCapital的创始人JulienBouteloup说明了这个多层次的交易是多么复杂。他大致描述了所发生的事情。
Venus Protocol更新:BNB Chain将独家接管BNB Bridge攻击者的仓位:6月12日消息,BNB Chain上借贷协议Venus Protocol刚刚删除了“若BNB达清算门槛,BNB Chain将接管平台BNB头寸 ”的推文,并修改了措辞,称“2022年11月,BNB Chain提交了一份由社区通过的治理提案,将BNB Bridge攻击者的仓位独家清算给BNB Chain核心团队,目的是确保挪用资产的安全,防止任何进一步影响和出售清算。列入白名单的钱包最初由3000万美元的USDT提供资金,以确保防止Venus损失并通过此Venus治理批准机制提供额外支持。”
此前HashDit表示,BNB Bridge攻击者在Venus平台的924,821枚BNB(约249万美元) 存款面临清算,此次Venus Protocol发布的更新系对此言论的回应。[2023/6/12 21:31:39]
他指出,1万以太坊的闪电贷可能是问题所在。其中一半资金进入了借贷平台Compound,用于wrappedBTC(以太坊上的比特币)。剩下的是做空的抵押品——认为价格会下跌——即wBTC在保证金交易平台Fulcrum上的交易。该账户随后将wBTC出售给了去中心化交易所Uniswap。价格下跌了,于是黑客套现获利,偿还了最初的贷款。
Tornado Cash治理攻击者在链上转移ETH、TORN代币:金色财经报道,根据 EtherScan数据,Tornado Cash治理攻击者在发稿前大约一个半小时进行了两笔交易。一笔100 ETH 的交易被发送到 Tornado Cash 路由器,该路由器用于该服务的资金混淆过程。另一笔交易包含 38,302.57 TORN,这是 DAO 的治理代币。
金色财经此前报道,在本周末恶意治理提案通过后,攻击者接管了 DAO。匿名安全研究员 Samczsun 报告说,攻击者利用该漏洞获得了治理控制权,但 Tornado Cash 中持有的大部分资金都不会被盗。[2023/5/25 10:38:13]
但是,这个黑客告诉了人们各种DeFi工具如何一起使用,以获得不道德的利润,他或她还强调了这些DeFi工具的中心化程度。
动态 | 代币IseriCoin存在造币漏洞 已被攻击者利用:今日,DVP区块链安全监测系统TronEye检测到一起攻击事件:在2019-04-08 19:23:12至2019-04-09 12:21:30期间,在有多个攻击者针对一款基于Tron的代币(IseriCoin)发起了攻击,黑客利用合约漏洞凭空给自己账户增发了巨量的IseriCoin代币,该代币在kiwidex交易所上架,目前已经暂停交易。
经DVP安全团队分析,该事件是由于IseriCoin合约与已经被攻击过的TronCrush Token合约存在相同漏洞导致,所以攻击者使用了同样的攻击手法,只要攻击者向自己转账即可获得并增发与转账数额等额的代币。
对此建议各位项目方,在进行智能合约开发的时候应注意代码复用的风险,若一份有漏洞的代码在公链生态内被复用,在攻击发生时将影响诸多项目。建议在复用外部代码以及自行研发时需要进行必要的审计。[2019/4/10]
Fulcrum使用“管理密钥”
昨天,维护Fulcrum协议的bZx发布了最新情况。该公司声称,其平台上的用户无一损失。
“用户损失的资金为零。针对我们协议的攻击昨晚出现了大量的报道。从协议的角度来看,有人只是借了一笔钱。从贷款人的角度来看,这笔贷款和其他贷款一样。”
该平台还表示,攻击者在交易所留下了60万美元的wBTC。他们计划把这些钱分发给交易所的其他用户。
但是,要做到这一点,平台需要使用它的“管理密钥”。
“目前攻击者留下了60万wBTC抵押品。我们将利用这些资金向现有的iETH持有者提供利息和流动性。这将通过我们的管理密钥完成。这对我们来说是一个非常困难的决定,我们不能掉以轻心。”
从本质上讲,这个管理密钥很难嵌入到协议中,其允许bZx在不得已的情况下控制任何智能合约。管理密钥的目的正是为了某些情况,即系统出现了问题,同时其中包含了大量的资金。
但是,管理密钥证明了中心故障点的存在,用户必须信任交易背后的团队,相信他们不会偷走所有人的钱。考虑到DeFi的目标就是消除这种信任,这似乎是一个相当大的弱点。
DeFi协议希望有一个安全保障机制,这并不奇怪。以太坊最大的实验项目——TheDAO——曾经持有14%的以太坊——由于代码错误而失败了。结果,整个以太坊区块链被重写,这样每个人都能拿回他们的钱。但此举破坏了网络,招致了很多批评。
这一次,Fulcrum将使用它的管理密钥来节省时间,但是,此举彻底暴露了其中心化的本质,它产生的问题比答案更多。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。