PeckShield(派盾)追踪和分析后发现,攻击者从dYdX和UniswapV2借出了4笔闪电贷,共计290万DAI和34.48万WETH。然后,攻击者在UniswapV2中抵押了290万DAI和4519WETH,用以提供流动性,并铸造了9.4349万个LPtokens。这些LPtokens转换为WarpVaultLP,成为了攻击者的质押凭证。值得注意的是,此时LPtokens的价格为58.8 USDC。
接着,攻击者在UniswapV2中用34.1万WETH兑换了4760万DAI,从而推高了DAI的价格,使得LPtokens的价格翻了一倍,达到135.5 USDC。通过推高LPtokens的价格和重置喂价预言机凭证的价格,在WarpFinance中借出了386万DAI和390万USDC(总计约780万美元)。
最后,攻击者只需还上在dYdX和UniswapV2中的闪电贷,就能将这780万美元纳入囊中。然而,据PeckShield(派盾)分析,被盗收益目前仍被锁在抵押金库中。
闪电贷攻击频发,为何黑客还能得手?根据PeckShield(派盾)的统计,今年已经发生了近10起利用闪电贷的DeFi安全事件,包括bZx、Balaner、Havest、Akropolis、CheeseBank、ValueDeFi和OriginProtocol等。
闪电贷攻击通常是指利用闪电贷和其他漏洞进行套利和操纵价格等行为。实际上,闪电贷本身并不是漏洞,但恶意行为者可以利用它以极低的成本获取大量资金,并在多个协议之间进行价格操纵或套利。
PeckShield(派盾)的相关负责人解释说,区块链上的闪电贷是一种不需要抵押品即可借贷的贷款方式,但借款方必须在同一个区块内还款,否则交易将失败。因此,闪电贷对借款平台来说是零成本和零风险的。黑客可以利用这种贷款方式以很小的成本借出大笔资金,然后用这些资金造成数字资产的价格波动,从中获取利润。
由于闪电贷攻击频发,这个功能备受诟病,被认为是黑客的提款机。但也有人认为,闪电贷让协议的漏洞更早暴露出来,有利于提高协议的安全性。
PeckShield(派盾)的相关负责人建议,根据闪电贷的特性,开发DeFi协议时应该设计成不允许在同一个区块内存款和取款,以防止黑客利用闪电贷进行攻击。
闪电贷具有很大的创新吸引力,但它不应成为黑客的利器。DeFi协议开发者应该在攻击发生后自查代码。PeckShield(派盾)提醒,如果对此不了解,应该找专业的审计机构进行审计和研究,以防患于未然。
本站所有软件信息均由用户上传发布,版权归原著所有。如有侵权/违规内容,敬请来信告知邮箱:764327034@qq.com,我们将及时撤销! 转载请注明出处:https://czxurui.com/zx/53039.html
发表回复
评论列表(0条)