在 DeFi 协议里,创新与风险并存,他们一次次从攻击中吸取教训,或又一次次被“攻击者”吊打。
Peck Shield
组合创新 迷人又危险
继 5 月 5 日, DeFi 协议 Value DeFi 遭攻击其 vStake 池子受影响后,5 月 8 日, DeFi 协议 Value DeFi 再次遭到黑客攻击。
PeckShield 「派盾」通过追踪和分析发现,该攻击源于 Value DeFi 的 vSwap 合约代码出现漏洞遭到攻击,损失约 1,100 万美元。
vSwap 是 Value DeFi 的旗舰产品之一,它是一个基于以太坊和 BSC 币安智能链的自动代理做市商,允许任何人创建具有灵活比率对的交易池,提供流动性,并赚取交易费用。
Peck Shield
资产损失&资金流转
在此次 Value DeFi 安全事件中,其 3/4 的资金池遭到攻击:
- vBSWAP/WBNB (70/30)
- gvVALUE/BUSD (98/2)
- BDO/BUSD (80/20)
- vBSWAP/BUSD (98/2)
- FARM/WBNB (70/30)
- IRON/STEEL (60/40)
- BDO/vBSWAP (70/30)
- BAC/BUSD (80/20)
- BASv2/WBNB (60/40)
被盗资产包含:15,000 BNB、2,700 FARM、1,700 BASv2、8,500万 BDO、68,300 BUSD、41,400 MDG、945,000 VBOND、1,200 万 BAC、11,000 FIRO。
经 PeckShield 「派盾」旗下反洗钱态势感知系统 CoinHolmes 追踪发现,攻击者快速将这些被盗虚拟资产经去中心化交易所 1inch 中转换为约合 3,240 anyETH,并从 AnySwap 将所盗资产流出。
Peck Shield
攻击过程
以下是攻击过程:首先攻击者利用 0.05 WBNB 兑换出 1 WEI vBSWAP 和 3,543.083896847545353949 WBNB。
由于基于以太坊的 Value DeFi 协议 Fork 去中心化交易所 Uniswap 的代码,值得注意的是 Uniswap 仅支持按 50:50 的价值比例添加流动性,而在 BSC 上的 Value DeFi 效仿 Bancor 允许用户按不同价值比例投入到资金池中,在组合过程出现漏洞;
由于 power() 函数不支持 “_baseN<_baseD”的情况,出现漏洞被攻击者利用。
攻击者在同一个池中将 WEI vBSWAP 兑换为 WBNB,并重复此操作获利。
Peck Shield
防范与警示
DeFi 仍是一场充满创新的实验,DeFi 协议们构建新金融体系的同时也是在检验新的想法。但这也意味着漏洞经常出现在真实代码的“创新”之处,这些漏洞可能会被伺机待发的黑客盯上,而我们能做的就是尽可能减少被攻击的次数,不沦为刀俎。
PeckShield「派盾」提示注意排查与其他 DeFi 产品进行组合时的业务逻辑漏洞,避免出现跨合约的逻辑兼容性漏洞,即使一个小的更改都可能触发组合漏洞。
1193
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
