区块链技术博客
www.b2bchain.cn

SharkTeam独家分析 | 闪电贷攻击:Swamp.Finance被黑事件分析

第21015篇文章SharkTeam独家分析 | 闪电贷攻击:Swamp.Finance被黑事件分析,说明解释了SharkTeam独家分析 | 闪电贷攻击:Swamp.Finance被黑事件分析,是很好的区块链入门技术文章网站,提供了相应的代码的进行解释,并且把原理说的很清晰

北京时间7月16日,BSC上DeFi项目Swamp.Finance遭到闪电贷攻击。SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

一、事件分析

攻击流程:

0x962a216d49bdc7accc7d311e7467666edc4ab9c38510778d20492c3f973abeef,流程分析如下:

(1)攻击者从PancakeSwap的BBOO/WBNB流动性矿池中通过闪电贷借入6万BBOO。

SharkTeam独家分析 | 闪电贷攻击:Swamp.Finance被黑事件分析

(2)攻击者将借贷的6万BBOO质押到Swamp的金库中,从中获取奖励金。

SharkTeam独家分析 | 闪电贷攻击:Swamp.Finance被黑事件分析

SharkTeam独家分析 | 闪电贷攻击:Swamp.Finance被黑事件分析

SharkTeam独家分析 | 闪电贷攻击:Swamp.Finance被黑事件分析

实际上是调用 deposit函数将6万 BBOO 存入当前合约(StrategyPancake)中,然后在deposit函数中调用_farm函数(如下图)

SharkTeam独家分析 | 闪电贷攻击:Swamp.Finance被黑事件分析

从当前合约中读取质押的BBOO数量,从以下执行过程,可以看出读取的数量要比质押的数量要大。这里读取到的BBOO不仅包含了质押的BBOO,还包含了向该合约转入的BBOO。

SharkTeam独家分析 | 闪电贷攻击:Swamp.Finance被黑事件分析

然后调用MasterChef合约中的enterStaking函数:

SharkTeam独家分析 | 闪电贷攻击:Swamp.Finance被黑事件分析

SharkTeam独家分析 | 闪电贷攻击:Swamp.Finance被黑事件分析

这里,全部奖励金的10%发送给Swam.Finance开发团队,合约中把100%的奖励金(而不是剩余的90%)发送到LeafBar合约。

SharkTeam独家分析 | 闪电贷攻击:Swamp.Finance被黑事件分析

SharkTeam独家分析 | 闪电贷攻击:Swamp.Finance被黑事件分析

SharkTeam独家分析 | 闪电贷攻击:Swamp.Finance被黑事件分析

(3)调用NativeFarm合约中emergencyWithdraw函数紧急提取质押的BBOO以及奖励金。

SharkTeam独家分析 | 闪电贷攻击:Swamp.Finance被黑事件分析

(4)将提取的BBOO再次质押到Swamp的金库,获取奖励金。

SharkTeam独家分析 | 闪电贷攻击:Swamp.Finance被黑事件分析

(5)最后偿还借贷的6万BBOO以及闪电贷0.2%的费用,将剩余的BBOO提取到钱包地址中,完成了本次闪电贷攻击。

SharkTeam独家分析 | 闪电贷攻击:Swamp.Finance被黑事件分析

二、安全建议

此次事件是又一次与闪电贷有关的安全事件,DeFi项目的业务逻辑设计复杂,涉及的经济学计算和参数较多,却不同项目和协议之间可组合性极其丰富,很难预测,非常容易出现安全漏洞。如下表,利用闪电贷这种新型产品进行攻击的DeFi事件在过去的一年里层出不穷,已增加到32起。通常闪电贷攻击包括“哄抬套利”、“操纵预言机”、“重入攻击”和“技术漏洞”四种,本次属于基于利用“技术漏洞”进行攻击。

SharkTeam独家分析 | 闪电贷攻击:Swamp.Finance被黑事件分析

SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。

而作为项目方,智能合约安全关系用户的财产安全,至关重要!区块链项目开发者应与专业的安全审计公司合作,进行多轮审计,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。

SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容,全面保障智能合约安全。

SharkTeam独家分析 | 闪电贷攻击:Swamp.Finance被黑事件分析

SharkTeam独家分析 | 闪电贷攻击:Swamp.Finance被黑事件分析 由www.b2bchain.cn 提供
文章整理自网络,只为个人学习与分享使用
链接地址https://www.b2bchain.cn/21015.html

赞(0) 打赏
部分文章转自网络,侵权联系删除b2bchain区块链学习技术社区 » SharkTeam独家分析 | 闪电贷攻击:Swamp.Finance被黑事件分析
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

b2b链

联系我们联系我们