mt logoMyToken
总市值:
0%
恐慌指数:
0%
币种:--
交易所 --
ETH Gas:--
EN
USD
APP
Ap Store QR Code

Scan Download

张冠李戴-bEarn Fi被攻击事件分析

收藏
分享

北京时间5月17日讯,DeFi 协议 bEarn Fi 被攻击,其 bVaults 的 BUSD-Alpaca 策略被攻击,池中近 1086 万枚 BUSD 被耗尽。其余的 bvault 以及平台其它资金池没有风险。

图片1.png

SharkTeam第一时间对此事件进行了跟踪,在bEarn Fi官方说明基础上进行了深入完整的事件分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

一、事件分析

事件发生的交易地址:

0x603b2bbe2a7d0877b22531735ff686a7caad866f6c0435c37b7b49e4bfd9a36c

分析交易可知,这是一个闪电贷形式的攻击,攻击流程如下:

(1) 攻击者先从Cream借出大量的BUSD(约7百万)。

图片2.png

(2) 由于withdraw的问题,反复使用deposit和withdraw 会得到更多的资产。

(3) 所以在最后攻击者得到了约8百万的 BUSD,将7百万的BUSD归还闪电贷。

(4) 将剩余的BUSD卖出获利。

图片3.png

攻击事件发生的交易所在的合约地址:0x21125d94cfe886e7179c8d2fe8c1ea8d57c73e0e。

分析可知,是合约中的withdraw函数入参出现问题,将需要返回的 ibBUSD的值,错误的传值为BUSD的值,直接导致提出了更多价值的ibBUSD。

如下图所示,在BvaultsBank合约(0x11dffac3909df964aa083f23de63755a6c219c02)中的withdraw函数入参是BUSD的值,而在后面提取ibBUSD时,本应传ibBUSD的值,却依然传的是BUSD的值,直接导致提取出了更多的ibBUSD。

二、SharkTeam区块链安全知识课堂

此次事件是又一次与闪电贷攻击有关的区块链安全事件,DeFi项目的业务逻辑设计复杂,涉及的经济学计算和参数较多,却不同项目和协议之间可组合性极其丰富,很难预测,非常容易出现安全漏洞。如下表,利用闪电贷这种新型产品进行攻击的DeFi事件在过去的一年里层出不穷,已增加到16起。通常闪电贷攻击包括“哄抬套利”、“操纵预言机”、“重入攻击”和“技术漏洞”四种。本次属于基于“技术漏洞”的黑客攻击。

图片6.png

三、安全建议

操纵预言机和哄抬套利攻击模式本质上都是对净值计算环节的利用和操纵行为。故而在设计 DeFi 系统的时候,妥善处理这一环节至关重要。

(1)最根本的预防措施就是取消用户自动触发交易策略链式执行或更新净值的权限,从根本上阻断攻击者完成一整套连贯的操纵行为。

(2)安全审计:智能合约安全关系用户的财产安全,至关重要!区块链项目开发者应与专业的安全审计公司合作,为用户的数字资产安全和项目本身安全提供保障。

(3)增加交易延迟:操纵价格预言机是一个对时间敏感的操作,因为套利者总是在观察,并希望有机会优化任何次优市场。如果攻击者想把风险降到最低,他们会希望在单笔交易中完成操纵价格预言机所需的两笔交易,这样就不会有套利者夹在中间。作为协议开发者,可能只需要将用户进出系统之间的时间间隔增加1个区块的延迟就可以一定程度上防范此类攻击。

(4)时间加权平均价格(TWAP):Uniswap引入了一个TWAP预言机,供链上开发者使用。有文档详细地介绍了该预言机提供的具体安全保障。一般来说,对于长期没有链上拥堵的大型资产池来说,TWAP预言机对预言机操纵攻击有很强的抵抗力。不过,由于其实施的性质,在市场波动较大的时刻,它的响应速度可能不够快,而且只适用于链上已经有流动性的数字资产。

(5)M-of-N报告者机制:如今很多项目都在使用这种方法。Maker运行了一组由可信实体运营的喂价来源,Compound创建了Open Oracle,并拥有Coinbase等报告者,Chainlink聚合了Chainlink运营商的价格数据,并在链上公开。此方法也可有效的防范操纵预言机攻击。

四、SharkTeam智能合约审计服务

智能合约安全关系用户的财产安全,至关重要!区块链项目开发者应与专业的安全审计公司合作,为用户的数字资产安全和项目本身安全提供保障。

SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面111项审计内容,全面保障智能合约安全。

n SharkTeam为客户提供高级别的区块链安全服务,区块链安全专家团队7*24小时为智能合约提供全生命周期的安全保障,服务包括:VIP安全审计服务、VIP合规审计服务、安全事故应急响应等。

n SharkTeam也提供自动化审计工具,自动化审计以云服务的方式为用户提供服务。运用符号执行、形式化验证等智能合约分析技术,满足开发者智能合约日常审计需求。

图片7.png

来源:SharkTeam

==

免责声明:本文版权归原作者所有,不代表MyToken(www.mytokencap.com)观点和立场;如有关于内容、版权等问题,请与我们联系。