时间:2020-02-21 11:41  编辑:baidu.com

  苍井空AV在线

  PeckShield 团队在上一篇文章《PeckShield:硬核技术解析,bZx协议遭黑客漏洞攻击始末》中分析了?bZx 于02月15日遭到黑客一次可组合资产流动性攻击,那是由于?bZx 合约对抵押品状态判断不完善导致的。

  02月18日,bZx 再次遭遇了类似的攻击,这一次的攻击从技术原理与上一次不同,此次黑客是通过操纵 Oracle 价格对?bZx 合约进行了“蒙骗”。

  从攻击流程上来看,这一次与上次刚好相反,苍井空伦理电影但整体上的套利手段还是一致的,根本原因主要是由于平台间共享流动性过小以及价格机制设计缺陷导致的。

  本文的初衷是希望通过分析此漏洞的一些攻击细节让大家能够更直观的了解此次攻击事件,并希望可以引起更深入的讨论。我们相信,这些讨论将对 DeFi 社区的完善和发展是十分有益的,特别是项目方在开发下一代的 DeFi 类产品时,可以有助于设计出更安全,更可靠的流动性共享模型。

  此攻击事件发生在北京时间 2020-02-18 11:18:58(块高度#9504627?)。攻击者的交易信息可以在?etherscan?上查到。此攻击过程可以分为以下五个步骤:

  bZx 合约有一个 flashBorrowToken() 接口,允许调用者可以“零成本”从 bZx 平台上借出资产参与 DeFi 活动,之后在完成这一笔交易的时候偿还这部分资产。且调用者在借出资产的同时,可以指定资产的接收方地址。?

  本次攻击者向 bZx 平台借出 7,500 ETH,并指定攻击者的合约(此前已经部署)为资产接收方地址,这部分是基本的借贷功能,此处不做进一步解释。

  首先,我们介绍一下今天攻击者的最佳配角:sUSD,sUSD 是由 Synthetix 项目方发行的稳定币,其币价正常情况下与 1 美元持平,总发行量为 5,563,037 枚(统计于 2020年02月18日)。

  这两步骤也是正常的 DEX 币币交换的过程,在这两个批次操作之后 sUSD 对 ETH 的价格疯涨到了 0.00899,是市场价的 2.5 倍。

  在这一步之后,使得 sUSD 价格被抬高了 1.5 倍,攻击者手里的资产还是正常与 KyberNetwork 交互,并没有实质性的攻击发生。然而,KybrNetwork 内部通过 Uniswap 完成 sUSD 与 ETH 转换,这使得那些将 Uniswap 作为 sUSD/ETH Oracle 的其它平台(比如说 bZx)误认为当前 sUSD 价格的确有这么高,这才触发了后面的攻击事件。此时,系统的资产如下:

  到此为止,攻击者手里已经拥有的 sUSD 总量为 1,099,841 枚,占总发行量的? 19.7%。

  攻击者利用从 bZx 借到的 6,796 枚 ETH 以及手中剩余的资产一起还给之前从 bZx 借出来的 7,500 ETH,然后退场离开,完成闪贷操作。?

  1)当引入第三方 Token 的时候,需要考察第三方 Token 的安全性,有没有可能被单方面市场操纵,从而引起价格波动;

  2)DeFi 平台自身应当有价格容错与检验机制,使用第三方 Oracle 获取价格的时候,对他方的数据有尽可能多的验证;

  从第一次 bZx 被攻击损失 1,271 枚 ETH,这一次又损失 2,378 枚,且这两次攻击之间只相差了 3 天时间,可见 DeFi 特别项目的安全问题非常严峻。

  由于各项目由不同团队开发,对各自产品的设计与实现理解有限,集成的产品很可能在与第三方平台交互的过程中出现安全问题,进而腹背受敌。PeckShield 在此建议,DeFi 项目方在上线之前,苍井空伦理电影应当尽可能寻找对 DeFi 各环节产品设计有深入研究的团队做一次完整的安全审计,以避免潜在存在的安全隐患。

  声明:所有在本站发表的文章,本站都具有最终编辑权。本站全部作品均系比特币之家原创或来自网络转载,转载目的在于传递更多信息,并不代表本站赞同其观点和对其真实性负责,所产生的纠纷与本站无关。如涉及作品内容、版权和其它问题,请尽快与本站联系。

  美国教育部正在支持区块链研究工作。美国教育委员会确认,已从美国教育部获得资金以开展一个项目,该项目将探索数字分类帐技术的...

  欧盟委员会执行副主席Valdis Dombrovskis周二发布的备忘录显示,欧盟仍在努力解决Libra的问题。根据他的...

  由亿万富翁和比特币支持者Tim Draper旗下公司Draper Associates支持的初创公司Unstoppabl...

  中国人民银行郑州培训学院教授王勇在上海证券报刊文“疫情防控需有效发挥科技手段的作用”。文章表示, 大数据时代,防控疫情需...

  美国一名联邦法官表示,美国SEC在决定Telegram是否进行了非法证券发行时,不应该被贴上“标签”。 美国纽约南区法官...

标签:

热门标签

网站地图