USD:又一例闪电贷攻击 Palmswap安全事件分析

在 2023 年 7 月 24 日,Palmswap 遭受了一次闪电贷攻击,导致失去了 901,455 USDT(约等于 901,000 美元)。由于项目的 PlpManager 合约存在漏洞,导致 USDP 计算错误,从而导致了此次攻击。

在 2023 年 7 月 24 日,Palmswap 遭受了一次闪电贷攻击,导致损失约 901,000 美元。攻击最初是在区块 30248637 上由外部拥有的地址(EOA)0x5cf40 尝试发起的,但由于攻击者耗尽了 gas 费用而失败。

图片:失败的交易。来源:Bscscan原始攻击者从以太坊网络的 Tornado Cash 中提取了 1 个 ETH。然后,将 1 个 ETH 兑换成 USDT 并通过跨链桥转移到币安智能链(BSC)。随后,将 USDT 兑换成 BNB 并用于创建攻击合约。然而,不幸的是,攻击者没有足够的 BNB 来覆盖这次攻击。

ARK基金创始人:比特币是1600年代以来又一个新的资产类别:ARK基金创始人Cathiewood最近在MSCI主办、CFAInstitute和万得3C协办的直播中表示,在互联网发展的早期阶段,很少有人想到它会和商业联系在一起,因为早期的互联网主要是为情报部门、国防部门和学术界服务的,直到1991年之前,大众还不允许被使用互联网。所以最初的互联网理所当然的不存在支付系统,我们认为区块链技术就是互联网内生的支付平台,而比特币就是所有加密货币中的储备货币,我们认为区块链技术大部分的价值会在向少数几种加密货币汇聚。至于以区块链技术为核心的去中心化的金融几乎已经发展出一个平行的金融服务生态系统,包括投资、租赁、衍生品,几乎包含传统金融服务的方方面面。区块链技术还处于发展的初期,它风险很大,但我们相信对其生态系统的管控治理已经得到很大程度的改善,因为疫情之后加密资产的崩溃,以及很多投资者破产,使得对区块链的管控更加完善。我们也看到越来越多的机构投资者开始投资比特币,我们也知道比特币的总体供应只有2100万枚,而现在已经到了1900万,所以它具备稀缺性的特征,使之可以被看成是数字黄金。我们认为机构投资者的介入是一剂强心剂,而且比特币的价格跟其他加密资产并没有什么相关性。因此,我们相信,比特币是1600年代以来,我们发现的又一个新的资产类别。过去六个月,最让我们惊讶的就是像特斯拉这样的公司开始买入比特币以分散持有现金的风险,这有可能是因为这些公司想在非洲拓展业务,而这些地区由于本国货币币值不稳定,很难进行交易。[2021/3/26 19:19:28]

这让 EOA 0xf84ef 能够发现失败的交易,理解并复制了区块 30248638 的交易从而支付了正确数量的 gas 费用。

动态 | 腾讯Q2财报:受5G、人工智能和区块链技术成熟等利好因素,金融科技将迎来又一战略机遇期:腾讯发布Q2财报,在第二季度中,腾讯在金融科技方面动作频频。6月19日,腾讯发布了两项重要人事任命,正式敲定了香港虚拟银行董事长和金融科技板块的两位新负责人——赖智明和林海峰。据腾讯方面表示,受5G、人工智能和区块链技术成熟、粤港澳大湾区规划出台等众多利好因素带动,金融科技2019年迎来发展的又一战略机遇期,新任负责人将带领腾讯金融科技拥抱新机遇。[2019/8/15]

图片:成功交易。来源:Bscscan由此可见,原始攻击未能成功完成,是因为攻击者没有额外的 0.4 BNB 来支付交易费用。

一旦 EOA 0xf84ef 成功利用漏洞,被盗资金就会被转移到了 EOA 0x0Fe74,目前仍在该地址中。

声音 | 末日博士:Bitfinex很可能通过新的Tether发行又一次操纵了比特币:末日博士Nouriel Roubini刚刚发推,转发了一条抨击比特币泡沫的推文和文章,并称,这篇重要的文章显示,隐藏在最新的比特币泡沫背后的可能是什么。“最有可能的是BitFinex通过新的Tether发行又一次操纵了比特币的拉升。”[2019/5/12]

图像:被盗资金转移。来源:BscscanThe Palmswap 团队已经联系持有被盗资金的钱包,并试图协商赏金。然而,BSC scan 似乎错误地标记了一个错误的钱包作为 Palmswap 的攻击者:

BTC又一次跌破9000美元大关:根据火币全球专业站数据显示,在USDT交易区,BTC价格再度跌破9000美元大关,暂时报价为8947.47美元,跌幅达到2.4%,而其他主流加密货币也纷纷出现下跌现象,如BCH(-3.71%)、EHT(-0.87%)、EOS(-1.05%)。[2018/3/13]

图片:链上消息提供赏金。来源:BscscanPalmswap 的官方 X 账户证实了其与黑客的谈判已经开始。

图片:Palmswap X 官方公告(来源:/img/202386165225/5.jpg">

图片:plpmanager.sol 源代码来源:BscScan4.在第 3 步中,1,953,430 USDP 被交换成了 1,947,570 USDT(价值 $1,948,019.41)。

5.攻击者还清了通过闪电贷借入的最初 3,000,000 USDT,之后攻击者的钱包中还剩下 $901,445。

在 2023 年,已经发生了 128 起闪电贷攻击,相比之下,我们在 2022 年只记录了 101 起。随着攻击者寻求从智能合约漏洞中获取最大利润,闪电贷攻击在黑客中变得越来越受欢迎。

在此次事件发生时,闪电贷攻击已经导致 2.55 亿美元的损失,平均每起攻击导致约为 200 万美元的损失。在 7 月的前三周,我们已经记录了 22 起闪电贷攻击,造成共计 850 万美元的损失。2023 年每个月的平均闪电贷攻击次数为 18 次。目前,7 月的闪电贷事件数量正朝着创纪录的方向发展。目前,它与 2023 年 2 月持平,该月份也有 22 起攻击事件。

图表:2023 年闪电贷攻击导致的资金损失。数据来源:CertiK

图表:2023 年各月份的闪电贷攻击次数。数据来源:CertiK结论Palmswap 的闪电贷攻击是 CertiK 在 7 月份检测到的第二大恶意闪电贷攻击,该月份总共损失了 580 万美元。该攻击在 2023 年的恶意闪电贷攻击中排名第十。尽管 2023 年的闪电贷攻击数量没有减少,今年已经发生了 127 起,而 2022 年仅有 101 起,但当前损失的资金体量显著降低。这其中可能有几个原因。首先,2022 年上半年的市场条件导致被盗的资产在美元价值上更高。其次,由于闪电贷是一个相对较新的概念,用于防御这种攻击的安全策略仍在开发中,这意味着持有大量资金的项目成为攻击目标。2023 年的闪电贷攻击数量证明了项目方需要强大的安全措施和第三方审计。

CertiK中文社区

企业专栏

阅读更多

Foresight News

金色财经 Jason.

白话区块链

金色早8点

LD Capital

-R3PO

MarsBit

深潮TechFlow

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

火星币比特币:纳米比亚央行计划推出 CBDC

据新华社4月9日报道,随着加密货币在全球的兴起并且越来越多地被采用,纳米比亚央行最近发布其金融科技监管框架,并宣布有意推出其中央银行数字货币.

[0:0ms0-0:900ms