SharkTeam独家分析 | 闪电贷攻击：Swamp.Finance被黑事件分析

3 years ago

source link: https://www.tuoniaox.com/news/p-509323.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

SharkTeam独家分析 | 闪电贷攻击：Swamp.Finance被黑事件分析

SharkTeam 2021-07-18 10:25

摘要:

闪电贷攻击：Swamp.Finance被黑事件分析

北京时间7月16日，BSC上DeFi项目Swamp.Finance遭到闪电贷攻击。SharkTeam第一时间对此事件进行了攻击分析和技术分析，并总结了安全防范手段，希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。

一、事件分析

攻击流程：

0x962a216d49bdc7accc7d311e7467666edc4ab9c38510778d20492c3f973abeef，流程分析如下：

（1）攻击者从PancakeSwap的BBOO/WBNB流动性矿池中通过闪电贷借入6万BBOO。

图片1.png

（2）攻击者将借贷的6万BBOO质押到Swamp的金库中，从中获取奖励金。

实际上是调用 deposit函数将6万 BBOO 存入当前合约（StrategyPancake）中，然后在deposit函数中调用_farm函数（如下图）

图片5.png

从当前合约中读取质押的BBOO数量，从以下执行过程，可以看出读取的数量要比质押的数量要大。这里读取到的BBOO不仅包含了质押的BBOO，还包含了向该合约转入的BBOO。

图片6.png

然后调用MasterChef合约中的enterStaking函数：

这里，全部奖励金的10%发送给Swam.Finance开发团队，合约中把100%的奖励金（而不是剩余的90%）发送到LeafBar合约。

（3）调用NativeFarm合约中emergencyWithdraw函数紧急提取质押的BBOO以及奖励金。

图片12.png

（4）将提取的BBOO再次质押到Swamp的金库，获取奖励金。

图片13.png

（5）最后偿还借贷的6万BBOO以及闪电贷0.2%的费用，将剩余的BBOO提取到钱包地址中，完成了本次闪电贷攻击。

图片14.png

二、安全建议

此次事件是又一次与闪电贷有关的安全事件，DeFi项目的业务逻辑设计复杂，涉及的经济学计算和参数较多，却不同项目和协议之间可组合性极其丰富，很难预测，非常容易出现安全漏洞。如下表，利用闪电贷这种新型产品进行攻击的DeFi事件在过去的一年里层出不穷，已增加到32起。通常闪电贷攻击包括“哄抬套利”、“操纵预言机”、“重入攻击”和“技术漏洞”四种，本次属于基于利用“技术漏洞”进行攻击。

图片15.png

SharkTeam提醒您，在涉足区块链项目时请提高警惕，选择更稳定、更安全，且经过完备多轮审计的公链和项目，切不可将您的资产置于风险之中，沦为黑客的提款机。

而作为项目方，智能合约安全关系用户的财产安全，至关重要！区块链项目开发者应与专业的安全审计公司合作，进行多轮审计，避免合约中的状态和计算错误，为用户的数字资产安全和项目本身安全提供保障。

SharkTeam作为领先的区块链安全服务团队，为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成，满足不同客户需求，独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容，全面保障智能合约安全。

图片16.png

和2万人一起加入鸵鸟社群

添加QQ群：645991580

添加TG群：鸵鸟中文社区 https://t.me/tuoniaox

声明：鸵鸟区块链所有发布内容均为原创或授权发布，如需转载，请务必注明文章作者以及来源：鸵鸟区块链（微信公众号：MyTuoniao），任何不尊重原创的行为鸵鸟区块链都将进行责任追究！鸵鸟区块链报道和发布内容，不构成任何投资建议。

Recommend

www.tuoniaox.com 3 years ago
Cache

SharkTeam独家分析丨闪电攻击-Bogged Finance被黑事件分析

SharkTeam独家分析丨闪电攻击-Bogged Finance被黑事件分析 SharkTeam 2021-05-23 17:00 摘要: SharkTeam独家分析丨闪电攻...

www.tuoniaox.com 3 years ago
Cache

SharkTeam独家分析丨BurgerSwap闪电贷攻击事件分析

SharkTeam独家分析丨BurgerSwap闪电贷攻击事件分析 SharkTeam 2021-05-28 20:57 摘要: SharkTeam独家分析丨BurgerSwap闪...

www.tuoniaox.com 3 years ago
Cache

SharkTeam独家分析 | Impossible Finance闪电贷攻击事件分析

SharkTeam独家分析 | Impossible Finance闪电贷攻击事件分析 SharkTeam 2021-06-22 17:57 摘要: Impossible Finance闪电...

www.tuoniaox.com 3 years ago
Cache

SharkTeam独家分析 | xWin Finance闪电贷攻击事件分析

SharkTeam独家分析 | xWin Finance闪电贷攻击事件分析 SharkTeam 2021-06-25 21:29 摘要: xWin Finance闪电贷攻击事件分...

www.tuoniaox.com 3 years ago
Cache

SharkTeam独家分析 | 闪电贷攻击：XSURGE被黑事件分析

SharkTeam独家分析 | 闪电贷攻击：XSURGE被黑事件分析 SharkTeam 2021-08-17 17:10 摘要: 闪电贷攻击：XSURGE被黑事件分...

www.tuoniaox.com 3 years ago
Cache

SharkTeam独家分析 | 闪电贷攻击：Dot.Finance被黑事件分析

SharkTeam独家分析 | 闪电贷攻击：Dot.Finance被黑事件分析 SharkTeam 2021-08-26 21:10 摘要: Dot.Finance闪电贷攻击事...

www.tuoniaox.com 3 years ago
Cache

SharkTeam独家分析 | 闪电贷攻击：Cream Finance被黑事件分析

SharkTeam独家分析 | 闪电贷攻击：Cream Finance被黑事件分析 SharkTeam 2021-08-30 20:37 摘要: 闪电贷攻击：Cream Fina...

www.tuoniaox.com 3 years ago
Cache

SharkTeam独家分析 | 闪电贷攻击：Zabu Finance被黑事件分析

SharkTeam独家分析 | 闪电贷攻击：Zabu Finance被黑事件分析 SharkTeam 2021-09-13 20:31 摘要: 闪电贷攻击：Zabu Financ...

www.tuoniaox.com 3 years ago
Cache

SharkTeam独家分析 | 闪电贷攻击：Indexed Finance被黑事件分析

SharkTeam独家分析 | 闪电贷攻击：Indexed Finance被黑事件分析 SharkTeam 2021-10-17 10:05 摘要: 闪电贷攻击：Indexed...

www.tuoniaox.com 3 years ago
Cache

SharkTeam独家分析 | 闪电贷和重入攻击：Grim Finance被黑事件分析

SharkTeam独家分析 | 闪电贷和重入攻击：Grim Finance被黑事件分析 SharkTeam 2021-12-20 15:48 摘要: 闪电贷和重入攻击...

SharkTeam独家分析 | 闪电贷攻击：Swamp.Finance被黑事件分析

SharkTeam独家分析 | 闪电贷攻击：Swamp.Finance被黑事件分析

闪电贷攻击：Swamp.Finance被黑事件分析

Recommend

About Joyk