http://www.7klian.com

DeFi 明星项目 Balancer 再遭进攻,简析 Compound 金融模子裂痕

为了根天性改变 DeFi 的安详近况,我们必需针对新型智能合约(好比 DeFi、IoT) 引入全新的安详机制。

CertiK 阐明:进攻者心理画像 https://cointelegraph.com/news/hacker-steals-balancers-comp-allowance-in-second-attack-within-24-hours

https://twitter.com/frenzy_hao/status/1277597671847411712

6 月 29 日下午 8 点与 11 点的两起进攻利用了沟通的手法而且利用了同一个收款地点,确认为一个团队。固然这两次进攻与 29 日破晓 2 点的进攻均操作了 Balancer 合约的 gulp(),可是进攻手段差异,后两次进攻操作了 Compound 的金融模子的裂痕而不是纯真的代码裂痕。别的,后两次进攻的赢利远小于首次进攻赢利,实施首次进攻的黑客没有公道念头。

29 日下午 8 点进攻生意业务汗青记录:

差异于传统软件系统,区块链所有的生意业务、所有的合约挪用都是果真透明的。进攻事件产生后,区块链上的生意业务记录对付黑客而言就是最直白的教科书,区块链安详公司要抢在仿照进攻之前宣布预警,掩护相关公司。可是最近频繁的进攻事件,再一次证明安详预警是远远不足的,并不能根天性改变当前 DeFi 以致整个区块链的安详近况。

事件概述

6 月 29 日,进攻者从 dYdX 闪电贷中借到代币并铸币后,通过 uniswap 闪贷得到 cWBTC 和 cBAT 代币,然后将借得的代币在 Balancer 代币池中大量生意业务,从而触发 Compound 协议的空投机制,得到空投的 COMP 代币,再利用 Balancer 有裂痕的 gulp() 函数更新代币池数量后,取走所有代币并偿还闪电贷。进攻者相当于操作了 Compound 协议的金融模子、闪电贷和 Balancer 代码裂痕,无中生有了 COMP,总赢利约为 11.5ETH。

步调 3:利用 uniswap 通过闪电贷形式,借得 (borrow) 并锻造 (mint) cWBTC,cBAT 代币。

步调 8:进攻者仍旧可以回收同样的要领(步调 1 到步调 7),对其他代币池动员进攻。进攻的机制雷同,可是通过闪电贷借得和用来举办进攻的代币种类略有差异。

步调 7:送还 uniswap 和 dYdX 的闪电贷,离场。

原始阐明:

与 29 日纯真操作合约裂痕的 进攻 差异,这次黑客巧妙操作了 Compund 金融模子,无中生有了大量 COMP 代币。

撰文:CertiK

原文标题:《DeFi 尚有将来吗?Balancer 再遭进攻》
DeFi 安详尚有时机吗?

步调 2:利用步调 1 中获得的代币,对三种代币 (cETH、cDAI 和 cUSDC) 举办铸币操纵 (mint)。

中文新闻:
DeFi 安详新挑战DeFi 安详预警是弊大于利吗?

这次的仿照进攻,让许多人对区块链安详公司发生了质疑:安详公司的阐明文章会不会教会更多人进攻的要领?为什么各类安详预警没有改进安详情况?我们真的还需要安详预警吗?

步调 4:携带得到的 cWBTC 与 cBAT 插手代币池,此时进攻者拥有的 cWBTC 和 cBAT 的数目别离为 4955.85562685 和 55144155.96523628。

29 日下午 11 点进攻生意业务汗青记录:

只针对代码层面而不能对抽象模子举办阐明的、传统的安详技能完全应对不了 DeFi 带来的新挑战。而没有模子层面掩护的 DeFi,只能沦为熟知 DeFi 金融模子黑客的提款机。

新闻:

这次的进攻事件主要操作了金融模子设计上的裂痕,而不是代码层面的裂痕。这种由 DeFi 市场孕育出的新型进攻模式,让大部门区块链安详公司仅有的「代码审计」处事变得毫无用处。

这种安详机制必需要能举办模子层的阐明,必需可以或许适应新型合约的成长,只管做到在进攻时拦截,而非在进攻后预警。CertiK 团队在夜以继日研发基于 CertiK Chain 的新型安详 DeFi 机制 ——CeDeFi (Certified DeFi)—— 即可信 DeFi,相信可以在将来彻底改变当前被动的安详近况。

CertiK 判定后两次进攻是在首次进攻 14 小时后,操作雷同道理实施的仿照进攻

https://ethtx.info/mainnet/0xa519835c366bc77d93c9d3e433e653bfc46120688ad146b383f4dd93342cad29

参考链接:

继 6 月 29 日破晓 2 点 CertiK 捕捉 Balancer 进攻事件后《白手套以太:Balancer 进攻理会》, 北京时间 6 月 29 日下午 8 点整与 11 点 23 分,CertiK 天网系统(Skynet) 再次查抄到两起雷同道理的 Balancer DeFi 合约异常,两起异常别离产生在区块数 10360609 与区块数 10361515。与 29 日纯真操作合约裂痕的进攻差异,这次黑客巧妙操作了 Compund 金融模子,无中生有了大量 COMP 代币。明星 DeFi 项目,一日内连遭三次进攻,让支持者不禁担心起整个 DeFi 市场的将来。

步调 5:别离用 cWBTC 和 cBAT 在该代币池中举办大量的生意业务,从而触发 Airdrop 操纵,将无归属的 COMP 分发到该代币池中。

进攻还原

以下午 11 点对 Balancer 的进攻为例:

CertiK 的概念是,,不只需要安详预警,还要做到更快更深入!

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

相关文章阅读