CertiK: ライトニングローン攻撃が頻繁に発生しており、BT.Finance への攻撃の最初と最後に戻ります。

CertiK

2021-02-10 05:48

本文约984字，阅读全文需要约4分钟

フラッシュローン攻撃は頻繁に発生しており、CertiK は BT.Finance への攻撃に戻ります。

2020年、頻繁に発生するフラッシュローン攻撃がセキュリティインシデントの「新たな常態」となっています。

2021 年でも、ハッカーにとってフラッシュローン攻撃は依然として「根強い」ようです。

北京時間2月9日、CertiKセキュリティ技術チームは、スマートDeFi収益アグリゲーターBT.Financeがハッキングされたことを発見した。

BT.Financeは、さらなる攻撃を防ぐためにCurve.fiへの入金を一時的に停止しました。攻撃されている戦略には ETH、USDC、USDT が含まれますが、他の戦略は影響を受けません。

BT.Financeは、保険と補償のための管理資金があり、投資家とDeFiの良好な発展のために、ハッカーが資金を返還することを期待していると述べた。

さらに、BT.Finance の出金手数料保護により、この攻撃による被害は約 140,000 ドル減少しました。 ICO Analytics によると、約 150 万ドルの資金が影響を受けました。

CertiK セキュリティ技術チームは直ちに分析を開始し、攻撃プロセスの詳細を次のように分析しています。

攻撃者はまずフラッシュローンを利用してdydxから約100,000 ETHを借りました。
攻撃者は約 57,000 ETH を Curve sETH プールに入金しました。
攻撃者は Curve sETH プールから sETH を引き出しますが、大量の ETH が入金されたため sETH の価格は上昇し、この時点で攻撃者は約 35,000 sETH を引き出しています。
攻撃者は約 4340 ETH を bt.finance ETH ポリシープールに入金しました。
攻撃者は獲得関数を呼び出します。
攻撃者は、ステップ 3 で引き出したすべての sETH を Curve sETH プールに預けて ETH を引き出し、最後に bt.finance ETH ポリシープールの引き出し関数をトリガーして、プールに保管されているすべての ETH を引き出します。
上記2～5の手順を5回繰り返し、フラッシュローンを返却すれば利益完了です。