正文
正文正文
本文轉自知帆科技,經授權轉載
在2021年5月份短短20余天,BSC幣安智能鏈上發生四次閃電貸攻擊套利事件,總共損失資金遠超7800萬美金。
四次攻擊事件的手法和原理均有相似之處,知帆科技將總結對比四次事件的攻擊原理和手法,希望廣大項目方和用戶提高警惕。
在開始分析BSC鏈上安全事件之前,需要了解一些基本概念,比如閃電貸的含義、Defi項目的盈利模式等。
一級標題
一級標題
1、分析目的
一級標題
一級標題
一級標題
AutoShark Finance
2、事件分析
一級標題
2、事件分析
北京時間2021年5 月25 日,幣安鏈(BSC)DeFi 協議AutoShark Finance 受到閃電貸攻擊。
合約最後在統計黑客的貢獻的時候計算出了一個非常大的值,導致SharkMinter 合約給攻擊者鑄出了大量的SHARK 代幣。
圖片描述
圖片描述
圖片描述AutoShark 被攻擊交易截圖。
Bogged Finance 團隊因閃電貸攻擊損失362 萬美元
北京時間2021年5 月22 日,知帆科技跟踪發現幣安鏈(BSC)DeFi 協議Bogged Finance 受到黑客攻擊,具體表現為黑客對BOG 代幣合約代碼中_txBurn函數的邏輯錯誤進行閃電貸套利攻擊,最終移除流動性從而完成攻擊過程。
圖片描述
圖片描述
圖片描述
北京時間2021年5月20日,知帆科技跟踪發現攻擊者利用合約漏洞,從PancakeSwap和ForTube流動性池中閃電貸借到大額資金,不斷加大BNB-BUNNY池中的BNB數量,之後在bunnyMinterV2合約中,鑄造大約700萬個BUNNY代幣,部分換成BNB償還閃電貸後,還有盈利69.7萬枚BUNNY和11.4萬枚BNB。
圖片描述
圖片描述
圖片描述
PancakeBunny 被攻擊交易截圖Spartan Protocol被攻擊損失約3000萬美金北京時間2021年5月2日,DeFi項目Spartan遭到黑客的閃電貸攻擊。 SpartanSwap 應用了THORCHAIN 的AMM 算法。
此算法採用流動性敏感資費(Liquidity-sensitive fee)來
,但是該算法存在漏洞。
Spartan Protocol被攻擊交易截圖
一級標題
一級標題
一級標題
3、總結BSC鏈上攻擊手法
黑客通過BSC閃電貸平台(PancakeSwap)籌款
佈置自動化合約進行BNB和平台代幣的兌換
將代幣打入平台合約池中獲得LP 代幣獎勵
返還借來的閃電貸資金
通過跨鏈橋平台(Nerve)將所獲資產快速轉移至以太坊
第一步:黑客從借貸平台獲取大額資金
一級標題
一級標題
4、安全提示
一級標題
