CertiK: 번개 대출 공격이 자주 발생합니다. BT.Finance에 대한 공격의 시작과 끝으로 돌아갑니다.

CertiK

2021-02-10 05:48

本文约984字，阅读全文需要约4分钟

플래시 대출 공격이 자주 발생하며 CertiK는 BT.Finance에 대한 공격으로 되돌아갑니다.

2020년에는 빈번한 플래시 대출 공격이 보안 사고의 "새로운 표준"이 되었습니다.

2021년에도 해커들에게 플래시론 공격은 여전히 "끈질긴" 것 같습니다.

베이징 시간으로 2월 9일, CertiK 보안 기술 팀은 스마트 DeFi 수익 수집기인 BT.Finance가 해킹당한 것을 발견했습니다.

BT.Finance는 또 다른 공격을 방지하기 위해 Curve.fi에 대한 입금을 일시적으로 중단했습니다. 공격을 받는 전략에는 ETH, USDC 및 USDT가 포함되며 다른 전략은 영향을 받지 않습니다.

BT.Finance는 보험 및 보상을 위한 관리 자금이 있다고 밝혔으며 투자자와 DeFi의 좋은 발전을 위해 해커가 자금을 반환할 수 있기를 바랍니다.

또한 BT.Finance 인출 수수료 보호 기능은 이 공격으로 인한 피해를 거의 $140,000 줄였습니다. ICO Analytics에 따르면 약 150만 달러의 자금이 영향을 받았습니다.

CertiK 보안 기술팀은 즉시 분석을 시작했으며 현재 다음과 같이 공격 프로세스의 세부 사항을 분석합니다.

공격자는 먼저 플래시론을 사용하여 dydx에서 약 100,000 ETH를 빌렸습니다.
공격자는 약 57,000 ETH를 Curve sETH 풀에 예치했습니다.
공격자는 Curve sETH 풀에서 sETH를 인출하는데, 예치된 ETH의 양이 많기 때문에 sETH의 가격이 상승하게 되고 이때 공격자는 약 35,000 sETH를 인출하게 됩니다.
공격자는 약 4340 ETH를 bt.finance ETH 정책 풀에 예치했습니다.
공격자는 적립 기능을 호출합니다.
공격자는 3단계에서 인출된 모든 sETH를 Curve sETH 풀에 입금하고 ETH를 인출하고, 최종적으로 bt.finance ETH 정책 풀의 인출 기능을 트리거하여 풀에 저장된 모든 ETH를 인출합니다.
위의 2~5단계를 5번 반복하고 플래시론을 돌려주면 수익이 완성됩니다.