SHARK:一文盘点近两周Flashloan漏洞案例_SHA

据2021年5月的CipherTrace报告指出：截止至2021年4月底，加密领域的盗窃、黑客攻击和金额达到4.32亿美元，而Defi黑客攻击案例占所有黑客攻击的60%以上，这个数据高于2020年的25%。下图可以很明显的看出DeFi黑客攻击案例逐年增加，2021年Q2被盗金额约1.3亿美元。

在众多DeFi黑客攻击案例中，Flashloan无疑是最常发生的一种黑客攻击类型。Flashloan是一种无抵押、无担保的贷款，可以在短期时间内提供大量资金，它贷款的智能合约必须在其出借的同一交易中完成，因此借款人必须使用其他智能合约从而帮助他在交易结束前与贷款资金进行即时交易。而这就导致了黑客可以利用代码的漏洞，操纵定价并从中获利。我们盘点了近两周FlashLoan黑客攻击的案例：1.PancakeBunnyBSC生态5月19日PancakeBunny遭到来自外部开发人员的闪电贷攻击，黑客使用PancakeSwap借入了大量BNB，之后继续操纵USDT/BNB以及BUNNY/BNB价格，从而获得大量BUNNY并进行抛售，导致BUNNY价格闪崩，最后黑客通过PancakeSwap换回BNB。此次闪电贷攻击，预计损失114,631.5421WBNB和697,245.5699BUNNY，合计约4500万美元。代币BUNNY的价格一度跌破2美元，最高跌幅一度超99%。2.BoggedFinanceBSC生态5月22日黑客对BOG代币合约质押功能漏洞进行了闪电贷攻击。该漏洞被设计为通过收取转账金额的5％来通缩。具体来说，在这5%的收费中，1%被销毁，4%作为质押利润的费用。但是，代币合约的实施只收取转账金额的1％，但仍然虚增4％作为质押利润。结果，攻击者可以利用借贷来显著增加质押金额，并反复进行自动转账以索取虚增的质押利润。之后，攻击者立即出售膨胀的BOG以获得约360万美元的WBNB。3.AutoSharkBSC生态5月24日AutoShark遭到闪电贷攻击，据慢雾分析：1）.攻击者从Pancake的WBNB/BUSD交易对中借出大量WBNB；2）.将第1步借出的全部WBNB中的一半通过Panther的SHARK/WBNB交易对兑换出大量的SHARK，同时池中WBNB的数量增多；3）.将第1步和第2步的WBNB和SHARK打入到SharkMinter中，为后续攻击做准备；4）.调用AutoShark项目中的WBNB/SHARK策略池中的getReward函数，该函数会根据用户获利的资金从中抽出一部分手续费，作为贡献值给用户奖励SHARK代币，这部分操作在SharkMinter合约中进行操作；5）.SharkMinter合约在收到用户收益的LP手续费之后，会将LP重新拆成对应的WBNB和SHARK，重新加入到Panther的WBNB/SHARK交易池中；6）.由于第3步攻击者已经事先将对应的代币打入到SharkMinter合约中，SharkMinter合约在移除流动性后再添加流动性的时候，使用的是SharkMinter合约本身的WBNB和SHARK余额进行添加，这部分余额包含攻击者在第3步打入SharkMinter的余额，导致最后合约获取的添加流动性的余额是错误的，也就是说SharkMinter合约误以为攻击者打入了巨量的手续费到合约中；7）.SharkMinter合约在获取到手续费的数量后，会通过tvlInWBNB函数计算这部分手续费的价值，然后根据手续费的价值铸币SHARK代币给用户。但是在计算LP价值的时候，使用的是PantherWBNB/SHARK池的WBNB实时数量除以LP总量来计算LP能兑换多少WBNB。但是由于在第2步中，Panther池中WBNB的数量已经非常多，导致计算出来的LP的价值非常高；8）.在LP价值错误和手续费获取数量错误的情况下，SharkMinter合约最后在计算攻击者的贡献的时候计算出了一个非常大的值，导致SharkMinter合约给攻击者铸出了大量的SHARK代币；9）.攻击者后续通过卖出SHARK代币来换出WBNB，偿还闪电贷。然后获利离开。此次事件致使AutoShark币价闪崩，跌至0.01美元，跌幅达到99%以上。4.MerlinLabsBSC生态5月26日，DeFi收益聚合器MerlinLabs遭到攻击，此次攻击手法与PancakeBunny的攻击手段相似，损失200ETH。5.JulSwapBSC生态5月27日DEX协议、自动化流动性协议JulSwap遭到闪电贷攻击，$JULB短时跌幅逾95%。6.BurgerSwapBSC生态自动做市商BurgerSwap疑似遭遇闪电贷攻击，被盗超过432,874个Burger，约330万美元。攻击者已通过1inch获利变现。有投资者损失了近97%。7.BeltFinanceBSC生态5月29日BeltFinance遭遇闪电贷攻击。攻击者利用闪电贷，通过8笔交易从BeltFinance协议中获得超过620万美元资金，并将大部分资金转换成anyETH并提取到以太坊。此次损失620万美元。以上遭到黑客攻击的项目都有一个相同点就是它们都属于BSC生态。自5月份以来，BSC生态项目连续遭到闪电贷攻击，总共损失已超1.57亿美金。巨大的损失金额也给开发者敲响了警钟：闪贷是开发人员在创建智能合约时必须考虑的事情。DeFi一直被认为是未来金融新范式，它的出现也让我们能够参与到全新的金融交易中。但是，由于技术堆栈的复杂性，某些功能可能会在系统的完全不相关的部分中被滥用，进而造成巨大的损失，这不仅损害了投资者的利益，也给项目、行业蒙上了污点，让圈外人望而却步。

意大利央行行长：欧洲央行加息将导致欧元区银行出现亏损:3月31日消息，意大利央行行长维斯科表示，欧洲央行加息导致意大利央行负债成本迅速增加，未来几年意央行与欧洲央行和其他欧元区银行一样将面临亏损。维斯科在当天举行的央行股东大会上说，欧洲央行货币政策的变化拖累了意大利央行2022年的毛利润，从前一年的92亿欧元降至59亿欧元。2022年底意央行资产约为14770亿欧元，同比减少4%。[2023/3/31 13:38:06]

欧洲央行执行委员会成员：数字欧元应在不排挤私人支付服务的情况下扩展支付解决方案:11月6日消息，欧洲央行（ECB）执行委员会成员Fabio Panetta在马德里埃尔卡诺皇家研究所的演讲中表示，欧洲央行正在探索是否发行央行数字货币（CBDC），即数字欧元供个人和企业用于零售支付。Fabio Panetta表示，数字欧元正处于一个为期24个月的调查阶段，数字欧元并不打算取代现金，数字欧元应该在不排挤私人支付服务的情况下扩展支付解决方案。（europa）[2021/11/6 6:34:33]

欧洲央行论文：原生数字资产可以在传统的执行场所公开交易，并符合现有法规:欧洲中央银行发布研究论文《DLT在贸易后处理中的应用（The use of DLT in post-trade processes ）》。该论文研究了DLT环境下证券的发行或记录和交易后处理的两种模型，以便在分布式账本技术环境下实现证券的发行或记录和交易后处理，并提供与传统系统的互操作性：1. 作为原生数字资产发行的证券；2. 在传统系统中发行并在DLT环境中启用的证券。论文对模型1表示，从纯粹的操作角度来看，原生数字资产可以在传统的执行场所公开交易，并符合现有法规。目前模型1主要用于OTC交易或私募。这一模式的实施有赖于通过DLT发行证券的适用监管框架。论文将模型2再细分为三种情况：a. 在传统系统中记录并完全迁移到基于DLT的系统（无需发行代币）的证券；b. 连接传统和分布式账本系统，以发行和记录可交易证券；c. 证券在传统系统记录，并在DLT环境中作为代币引用。此外，论文在附件中，举例LiquidShare等发行数字资产的模型；以及Cosmos、Polkadot、Chainlinky Quant等互操作性解决方案。详情见链接。[2021/4/14 20:18:05]

动态 | 荷兰国际集团报告：欧洲民众对于数字货币行业的兴趣未来可能会翻倍:荷兰国际集团（ING）在其第六次年度调查报告中称，欧洲民众对数字货币行业的兴趣将迅速增长，未来可能会翻倍。66%来自欧洲的受访者表示听说过数字货币，但是只有9%的人持有，另有16%的人声称他们希望在未来持有数字货币，这意味着持有数字货币的人数可能会增加一倍以上。ING对此表达了相当乐观的看法：“欧洲约三分之一的人（34%）还没有听说过数字货币，这意味着增长潜力甚至可能更高。”[2018/6/26]

标签：SHARKSHAARKBNBSharkBonkUSHA价格SPARKbnb最新价格币币情

MANA热门资讯