NAN:首发 | 闪电贷攻击频发带你回顾BT.Finance遭受攻击事件始末_OBI

作者：

时间：

2020年，闪电贷攻击频发，成为安全事故中的“新常态”。

2021年，对于黑客来说，闪电贷攻击看起来依旧是“盛宠不衰”。

北京时间2月9日，CertiK安全技术团队发现智能DeFi收益聚合器BT.Finance遭受黑客攻击。

BT.Finance已暂时停止了向Curve.fi存款，以防止再次被攻击。受攻击的策略包括ETH、USDC和USDT，其他策略不受影响。

XEN Crypto创始人在OpenSea Goerli测试网发布XENFT:11月2日消息，XEN Crypto创始人JackLevin在OpenSea Goerli测试网发布XENFT-8pa4UtcksM，目前交易量达92ETH。或受此影响，XEN24小时涨幅达124.5%，现报价0.00002277美元。[2022/11/2 12:09:03]

BT.Finance表示，有用于保险和赔偿的管理资金，为了投资者和DeFi的良好发展，希望黑客能够将资金归还。

DeFi信用合作社平台Xend Finance启动主网:金色财经报道，位于尼日利亚的DeFi信用合作社协议已启用其主网，该平台允许用户集中资金以创建自己的信用合作社。[2021/3/22 19:08:12]

此外，BT.Finance提款费用保护使这次攻击的损失减少了近14万美元。ICOAnalytics对此表示，受影响资金约为150万美元。

CertiK安全技术团队立即展开分析，现将攻击流程细节分析如下：

库币于6月22日15:00开放Xensor (XSR):据库币KuCoin交易所消息，库币已于6月22日15:00正式上线Xensor (XSR) 项目并支持XSR/USDT交易服务。Xensor项目基于ethash加密算法，通过自动化数据管理，提高数据存储和交易的效率，进一步降低了构建物联网通信网络的成本。Xensor还将区块链技术集成到设备网络中，以确保数据的可信度，并计划在未来对其硬件客户实施激励政策。库币是一家全球性数字货币交易所，为来自207个国家的500万用户提供币币、法币、合约、矿池、借贷等一站式服务。[2020/6/22]

攻击者首先从dydx中使用闪电贷借出约100000个ETH。

攻击者将大约57000个ETH存到CurvesETH池中。

攻击者从CurvesETH池中取出sETH，由于存入了大量的ETH，导致sETH的价格上升，此时攻击者取出了约35000个sETH。

攻击者将大约4340个ETH存入bt.financeETH策略池中。

攻击者调用earn函数。

攻击者将步骤3中取出的sETH全部存入CurvesETH池中并取出ETH，最后触发bt.financeETH策略池的withdraw函数，取出全部存入该池中的ETH。

重复上述2-5步骤5次，并归还闪电贷，完成获利。?

攻击者单次攻击进行的交易

攻击者进行了五次相同的攻击

安全建议

高收益必定伴随着高风险。

区块链的每一个应用版块几乎都包含了智能合约，而针对底层代码和设计模式的安全审计是保护项目的首要之事。