CertiK:Balancer遭黑客攻击损失约90万人民币,其他DeFi合约需警惕

确定一哥 /2020-06-30 11:27:03/ 分类:动态/阅读:
6月29日北京时间凌晨2点03分,CertiK天网系统检查到在区块10355807处Balancer DeFi合约异常。此次攻击约获利90万人民币。 安全研究员迅速介入调查,攻击重现如下: 阶段0:攻击者从dYdX闪电贷处借款,获得初始WETH资金。 阶段1:攻击者使用WETH将Balancer中的STA尽可能买空,最大程度提高STA价格。 阶段2:攻击者用获得的STA多次买回WETH。每一次都用最小量的STA(数值为1e-18)进行购买,并利用Balancer内部漏洞函数gulp(),锁定STA的数目,控制STA对WETH的价格。重复多次该种买回操作,直到将Balancer中的WETH取空。 阶段3:换一种代币,用STA重复阶段2直到取空该种代币。阶段三重复了三次,一共有4种代币受到了损失WETH,WBTC, LINK和SNX。 阶段4:偿还dYdX闪电贷,离 ...
6月29日北京时间凌晨2点03分,CertiK天网系统检查到在区块10355807处Balancer DeFi合约异常。此次攻击约获利90万人民币。
安全研究员迅速介入调查,攻击重现如下:
阶段0:攻击者从dYdX闪电贷处借款,获得初始WETH资金。
阶段1:攻击者使用WETH将Balancer中的STA尽可能买空,最大程度提高STA价格。
阶段2:攻击者用获得的STA多次买回WETH。每一次都用最小量的STA(数值为1e-18)进行购买,并利用Balancer内部漏洞函数gulp(),锁定STA的数目,控制STA对WETH的价格。重复多次该种买回操作,直到将Balancer中的WETH取空。
阶段3:换一种代币,用STA重复阶段2直到取空该种代币。阶段三重复了三次,一共有4种代币受到了损失WETH,WBTC, LINK和SNX。
阶段4:偿还dYdX闪电贷,离场。
CertiK判断攻击者是有经验的黑客团队在充分准备后的一次攻击尝试,有很大可能还会继续攻击其他DeFi合约。
0.0

TAG:
阅读:
说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!
客服微信确定财经公众号确定网公众号App下载微信小程序
微信客服确定财经确定网App下载小程序
Copyright © 2020 北京确定科技有限公司
二维码
意见反馈 二维码