SharkTeam独家分析 | 闪电贷攻击:Dot.Finance被黑事件分析
source link: https://www.tuoniaox.com/news/p-512606.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
SharkTeam独家分析 | 闪电贷攻击:Dot.Finance被黑事件分析
摘要:
Dot.Finance闪电贷攻击事件分析
北京时间8月25日,波卡生态收益聚合项目Dot.Finance遭遇闪电贷攻击。SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
一、事件分析
攻击合约地址0x33f9bb37d60fa6424230e6cf11b2d47db424c879
攻击流程如下:
1.攻击者从 PancakeSwap 闪电贷贷出 100 Cake,随后将贷出的100 Cake转入VaultPinkBNB合约。
2. 在攻击者调用VaultPinkBNB.getReward()(代码如下)的时候,
因为实际获取的VaultPinkBNB合约余额是错误的(包含了攻击者转入的100 Cake),如下:
这使得 performanceFee 变成了一个非预期的巨大值。
因此,攻击者额外铸造了大量的PINK。
然后将15%铸造给开发团队
3.最后攻击者将获得的PINK兑换成了BNB并归还闪电贷本金和利息。
攻击者从部署攻击合约到销毁合约,发起了多笔交易,最终获得了大量的BNB。
二、安全建议
此次事件是又一次与闪电贷有关的安全事件,DeFi项目的业务逻辑设计复杂,涉及的经济学计算和参数较多,却不同项目和协议之间可组合性极其丰富,很难预测,非常容易出现安全漏洞。如下表,利用闪电贷这种新型产品进行攻击的DeFi事件在过去的一年里层出不穷,已增加到38起。通常闪电贷攻击包括“哄抬套利”、“操纵预言机”、“重入攻击”和“技术漏洞”四种,本次属于基于利用“技术漏洞”进行的闪电贷攻击。
SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。而作为项目方,智能合约安全关系用户的财产安全,至关重要!区块链项目开发者应与专业的安全审计公司合作,进行多轮审计,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。
SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容,全面保障智能合约安全。
和2万人一起加入鸵鸟社群
添加QQ群:645991580
添加TG群:鸵鸟中文社区 https://t.me/tuoniaox
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK