区块链技术博客
www.b2bchain.cn

SharkTeam独家分析丨Belt Finance 闪电贷攻击事件分析

第19605篇文章SharkTeam独家分析丨Belt Finance 闪电贷攻击事件分析,说明解释了SharkTeam独家分析丨Belt Finance 闪电贷攻击事件分析,是很好的区块链入门技术文章网站,提供了相应的代码的进行解释,并且把原理说的很清晰

北京时间2021年5月30日,币安智能链(BSC)上多策略收益优化 AMM 协议 Belt Finance遭遇闪电贷攻击,四个资金池受到影响,损失620万美元。

SharkTeam独家分析丨Belt Finance 闪电贷攻击事件分析

SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

一、事件分析

本次攻击交易:0x50b0c05dd326022cae774623e5db17d8edbc41b4f064a3bcae105f69492ceadc

(1)攻击者从 PancakeSwap中通过闪电贷分8次,共计借出387315994 BUSD(3.87亿 BUSD);

SharkTeam独家分析丨Belt Finance 闪电贷攻击事件分析

(2)将其中1千万BUSD存入bEllipsisBUSD策略,Ellipsis 是以太坊上 DeFi 协议 Curve 授权 Fork 的项目

SharkTeam独家分析丨Belt Finance 闪电贷攻击事件分析

(3)将 1.87 亿 BUSD 存入 bVenusBUSD 策略

SharkTeam独家分析丨Belt Finance 闪电贷攻击事件分析

(4)通过 Ellipsis 合约将 1.9 亿 BUSD 兑换为 1.69 亿 USDT;

SharkTeam独家分析丨Belt Finance 闪电贷攻击事件分析

至此,闪电贷出的3.87亿BUSD均已投入攻击,其中1.87存入bVenusBUSD策略,1千万存入bEllipsisBUSD策略,1.9亿通过Ellipsis兑换成1.69亿USDT。

(5)从bVenusBUSD策略中提取BUSD

SharkTeam独家分析丨Belt Finance 闪电贷攻击事件分析

(6)通过Ellipsis将1.69亿USDT换成1.89亿BUSD

SharkTeam独家分析丨Belt Finance 闪电贷攻击事件分析

(7)向bVenusBUSD策略中再次存入1.97亿BUSD,

SharkTeam独家分析丨Belt Finance 闪电贷攻击事件分析

重复(5)~(7)多次,攻击者通过重复买入卖出 BUSD,最后从策略 bVenusBUSD 中提取了更多的 BUSD,使用1.69亿BUSDT兑换出1.89亿的BUSD。

SharkTeam独家分析丨Belt Finance 闪电贷攻击事件分析

(8)归还闪电贷,并将资产转移获利。

此次攻击,是由于bEllipsis策略余额计算中的漏洞,造成攻击者操纵了beltBUSD 的价格。通过合约分析可知,beltBUSD 的价格依赖于机枪池中的余额,攻击者将 BUSD 存入 bVenusBUSD 策略再提出,由于资产的数量不变,即使重复操作,也不会获利。但,此次攻击者也同时操作了其他策略(bEllipsisBUSD)对beltBUSD余额产生了影响,造成了计算漏洞的产生。

SharkTeam独家分析丨Belt Finance 闪电贷攻击事件分析

二、安全建议

此次事件是又一次与闪电贷攻击有关的区块链安全事件,DeFi项目的业务逻辑设计复杂,涉及的经济学计算和参数较多,却不同项目和协议之间可组合性极其丰富,很难预测,非常容易出现安全漏洞。如下表,利用闪电贷这种新型产品进行攻击的DeFi事件在过去的一年里层出不穷,已增加到22起。通常闪电贷攻击包括“哄抬套利”、“操纵预言机”、“重入攻击”和“技术漏洞”四种。本次属于基于“操纵预言机”的黑客攻击。

SharkTeam独家分析丨Belt Finance 闪电贷攻击事件分析

安全建议:

(1)进行合约审计,避免合约中的状态和计算错误。重点检查价格预言和计算部分的合约逻辑。

(2)可使用时间加权平均价格(TWAP)来避免价格异常波动所带来的损失,以此防范黑客利用闪电贷攻击价格预言机。

(3)对于Fork第三方协议的项目,请充分了解并分析原项目的合约逻辑,避免误用造成风险。

三、SharkTeam智能合约安全审计

SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面111项审计内容,全面保障智能合约安全。

SharkTeam为客户提供高级别的区块链安全服务,区块链安全专家团队7*24小时为智能合约提供全生命周期的安全保障,服务包括:VIP安全审计服务、VIP合规审计服务、安全事故应急响应等。

SharkTeam也提供自动化审计工具,自动化审计以云服务的方式为用户提供服务。运用符号执行、形式化验证等智能合约分析技术,满足开发者智能合约日常审计需求。

SharkTeam独家分析丨Belt Finance 闪电贷攻击事件分析

SharkTeam独家分析丨Belt Finance 闪电贷攻击事件分析 由www.b2bchain.cn 提供
文章整理自网络,只为个人学习与分享使用
链接地址https://www.b2bchain.cn/19605.html

赞(0) 打赏
部分文章转自网络,侵权联系删除b2bchain区块链学习技术社区 » SharkTeam独家分析丨Belt Finance 闪电贷攻击事件分析
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

b2b链

联系我们联系我们