Defi项目再被黑客攻击,740万U遭窃!

OKX欧易app

OKX欧易app

欧易交易所app是全球排名第一的虚拟货币交易所,注册领取6万元盲盒礼包!

APP下载   官网注册

DeFi挖矿热潮沉寂了一段时间之后,最近又逐渐反弹。这几天Uni、SUSHi、YFI等代表的DeFi板块表现强势上涨,显示 DeFi 还会继续前行。

今年以来,DeFi成为了区块链的新风口,但这块财富流淌的去中心化金融领域也引来了黑客的关注...

最近DeFi接连发生了多起攻击事件。上个月底的 Harvest 因 CRV 闪电贷款漏洞被黑客盗走了2000多万美元。前天 Akropolis 黑客利用重入攻击配合的 dYdX 闪电贷又盗走了200多万美元。昨天 ValueDefi 协议(YFV)又被黑客盗走了700万美元,成为又一起闪电贷攻击的惨痛教训。闪电贷这种创新模型已经成为黑客从 DeFi 大蛋糕中获利的重要手段,今年以来已经发生了多起类似事件。

最有意思的是之前 Harvest 黑客在盗取3380万美元后归还了250万美元,这次 ValueDefi 黑客在盗取740万美元后又归还了200万美元。被盗后又还钱,这是什么操作?

拿闪电贷来说,它给黑客提供了0成本的试错机会,可以不断尝试攻击 DeFi 项目寻找漏洞。只要找到机会,就能轻松盗走资金。

闪电贷是一种允许用户进行无抵押贷款的贷款模型,但贷款必须在同一个区块中偿还,否则会被收回。与传统的DeFi贷款不同,传统方式通常要求用户提供超额抵押品。闪电贷允许用户暂时成为资金充足的交易者,并具备操纵市场的潜力。在最近的一连串攻击中,黑客利用闪电贷借入、交换、存入并再次借入大量代币,从而人为操纵一个 DEX 中的代币价格。这个操作本身是合规的,因此攻击者能够利用该 DEX 进行异常定价。

攻击选择了对 ValueDeFi 团队不利的时间点,在被黑的时候团队正准备进行一场AMA,距离活动开始只有大约20分钟。

在事件发生后,人们越来越担心。ValueDeFi团队成员告知人们这是一个UI漏洞。

然后在15:49,有人在聊天室放出了etherscan链接,价值740万美元的ValueDeFi金库资金被转移。紧随其后,其代币 VALUE 的价格受到影响,下跌超过30%。

Value社区在被黑后的AMA还照常进行,有些讽刺。

攻击者最后归还了200万美元,并留言给 ValueDeFi团队:你真的了解闪电贷吗?这是一种赤裸裸的鄙视。

更讽刺的是,发生攻击的前一天,ValueDeFi还声称自己是DeFi领域最安全的协议,并且能够抵抗闪电贷攻击。这次真是吃了大亏。

根据漫雾区的分析,本次ValueDeFi协议闪电贷攻击的过程如下:

1.攻击者首先从Aave中借出80000个ETH,为攻击做准备;2.攻击者使用80000个ETH在Uniswap的WETH/DAI池中用闪电贷借出大量的DAI,并在WETH/USDT池中兑换大量的USDT;3.用户使用ValueMultiVaultBank合约的deposit合约将第2步中的一小部分DAI充值,ValueMultiVaultBank合约中有3种资产:3CRV、bCRV和cCRV。ValueMultiVaultBank合约在铸币时会将合约中的bCRV和cCRV转换成以3CRV计价,转换路径为bCRV/cCRV->USDC->3CRV。转换完成后,ValueDefi合约根据合约中的3CRV价值和攻击者充值的DAI数量计算mVUSD铸币数量;4.攻击者在Curve的DAI/USDC/USDT池中使用第2步中剩余的大部分DAI和USDT兑换USDC,提高DAI/USDC/USDT池中的USDC/3CRV价格;5.攻击者发起ValueMultiVaultBank合约中的3CRV提现。与第3步相同,该合约会先将合约中的bCRV和cCRV转换成以3CRV计价。由于第4步中USDC/3CRV的价格被提高,所以转换过程中ValueMultiVaultBank合约中的bCRV和cCRV可以换取更多的3CRV;6.攻击者拿到3CRV后,在Curve的DAI/USDC/USDT池中将其换回DAI,并在Uniswap中兑换成ETH,然后归还Aave的闪电贷款。

这么短时间内发生这么多盗币事件已经给我们提了个醒,目前的DeFi项目还不够成熟,存在许多机制漏洞和系统风险,而黑客能够以极低的成本完成攻击和盗币。

DeFi项目现阶段的技术难以兼顾去中心化本质与安全性、稳定性,

本站所有软件信息均由用户上传发布,版权归原著所有。如有侵权/违规内容,敬请来信告知邮箱:764327034@qq.com,我们将及时撤销! 转载请注明出处:https://czxurui.com/zx/51123.html

打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023年08月10日
下一篇 2023年08月10日

相关推荐

发表回复

8206
验证码

评论列表(0条)

    暂无评论

ok交易所
已有100万用户加入ok交易所

立即下载