CertiK: Các cuộc tấn công cho vay chớp nhoáng xảy ra thường xuyên, đưa bạn trở lại điểm bắt đầu và kết thúc của cuộc tấn công vào BT.Finance
本文约984字,阅读全文需要约4分钟
Các cuộc tấn công cho vay chớp nhoáng xảy ra thường xuyên và CertiK sẽ đưa bạn trở lại cuộc tấn công vào BT.Finance.
Vào năm 2020, các cuộc tấn công flash loan thường xuyên đã trở thành "điều bình thường mới" trong các sự cố bảo mật.Trong năm 2021, đối với hacker, các cuộc tấn công flash loan dường như vẫn còn "kiên trì".
Vào ngày 9 tháng 2, theo giờ Bắc Kinh, nhóm công nghệ bảo mật CertiK đã phát hiện ra rằng công cụ tổng hợp doanh thu DeFi thông minh BT.Finance đã bị tấn công.BT.Finance đã tạm thời ngừng gửi tiền vào Curve.fi để ngăn chặn một cuộc tấn công khác. Các chiến lược bị tấn công bao gồm ETH, USDC và USDT và các chiến lược khác không bị ảnh hưởng.BT.Finance tuyên bố rằng có quỹ quản lý để bảo hiểm và bồi thường, vì sự phát triển tốt đẹp của các nhà đầu tư và DeFi, hy vọng tin tặc có thể trả lại tiền.Ngoài ra, bảo vệ phí rút tiền BT.Finance đã giảm gần 140.000 đô la thiệt hại từ cuộc tấn công này. Theo ICO Analytics, khoảng 1,5 triệu đô la tiền đã bị ảnh hưởng.Đội ngũ kỹ thuật bảo mật CertiK đã ngay lập tức đưa ra phân tích, và bây giờ phân tích chi tiết quá trình tấn công như sau:- Đầu tiên, kẻ tấn công đã vay khoảng 100.000 ETH từ dydx bằng các khoản vay flash.
- Kẻ tấn công đã gửi khoảng 57.000 ETH vào quỹ sETH của Curve.
- Kẻ tấn công rút sETH từ nhóm Curve sETH. Do số lượng lớn ETH được ký gửi, giá của sETH tăng lên. Tại thời điểm này, kẻ tấn công đã rút khoảng 35.000 sETH.
- Kẻ tấn công đã gửi khoảng 4340 ETH vào nhóm chính sách ETH của bt.finance.
- Kẻ tấn công gọi hàm kiếm tiền.
- Kẻ tấn công gửi tất cả sETH đã rút ở bước 3 vào nhóm Curve sETH và rút ETH, cuối cùng kích hoạt chức năng rút tiền của nhóm chính sách ETH bt.finance để rút tất cả ETH được lưu trữ trong nhóm.
- Lặp lại 2-5 bước trên 5 lần và trả lại khoản vay nhanh để hoàn thành lợi nhuận.
Các giao dịch được thực hiện bởi kẻ tấn công trong một cuộc tấn công duy nhấtLời khuyên an toàn
Lợi nhuận cao phải đi kèm với rủi ro cao.Hầu hết mọi khối ứng dụng của chuỗi khối đều chứa các hợp đồng thông minh và việc kiểm tra bảo mật đối với mã cơ bản và các mẫu thiết kế là ưu tiên hàng đầu để bảo vệ dự án.CertiK một lần nữa khuyến nghị các bên tham gia dự án chú ý phòng tránh rủi ro, đồng thời nhà đầu tư nên kiểm tra xem dự án đã được rà soát an ninh đầy đủ và các đảm bảo an ninh tiếp theo trước khi đầu tư hay chưa.liên kết tham khảo
https://ethtx.info/mainnet/0xc71cea6fa00d11e98f6733ee8740f239cb37b11dec29e7cf85d7a4077977fa65
https://twitter.com/doug_storming/status/1358896348276391939?s=20
