区块链技术博客
www.b2bchain.cn

SharkTeam独家分析 | 闪电贷攻击:MY FARM PET被黑事件分析

第25189篇文章SharkTeam独家分析 | 闪电贷攻击:MY FARM PET被黑事件分析,说明解释了SharkTeam独家分析 | 闪电贷攻击:MY FARM PET被黑事件分析,是很好的区块链入门技术文章网站,提供了相应的代码的进行解释,并且把原理说的很清晰

北京时间10月6日,BSC上GameFi平台MY FARM PET遭受闪电贷攻击。SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

SharkTeam独家分析 | 闪电贷攻击:MY FARM PET被黑事件分析

一、事件分析

攻击者地址0x27d6e533a7d8e6f7ed88150b000cbea6ff8083c7

攻击合约0x412e4d5351a07f3fa1a2e07f3ebfbc291aa6ada1 

SharkTeam独家分析 | 闪电贷攻击:MY FARM PET被黑事件分析

步骤1 通过闪电贷借出340000 BUSD,将其兑换为My Farm Pet Token;

步骤2 攻击合约用999.9 My Farm Pet Token,从MarketPlaceV2合约(0x00cc93)兑换出70555534.2 My Farm Pet:Chicken Food Token(与My Farm Pet Token不是一种Token);

SharkTeam独家分析 | 闪电贷攻击:MY FARM PET被黑事件分析

SharkTeam独家分析 | 闪电贷攻击:MY FARM PET被黑事件分析

此时,可以看到攻击合约调用getBaseTokenPrice函数,获取My Farm Pet:Chicken Food Token价值为8,503,939,581,120,738

SharkTeam独家分析 | 闪电贷攻击:MY FARM PET被黑事件分析

步骤3将21267.3 My Farm Pet Token(数值与步骤1兑换的Token减去步骤2消费的Token、一致)通过PancakeSwap兑换成BUSD;

步骤4攻击合约将步骤2兑换的全部My Farm Pet:Chicken Food Token出售(销毁)给MarketPlaceV3合约(0x41c26e),MarketPlaceV3合约计算当前My Farm Pet:Chicken Food Token的价格,将46249.3 My Farm Pet Toke转入攻击合约;

此时可以看到当攻击合约再次调用getBaseTokenPrice函数,获取My Farm Pet:Chicken Food Token价值为462,708,269,111,432,582,约为最初调用获取价格的54.4倍。

SharkTeam独家分析 | 闪电贷攻击:MY FARM PET被黑事件分析

步骤5 将46249.3 My Farm Pet Token通过PancakeSwap兑换成BUSD;

步骤6 将340884 BUSD归还闪电贷并将获利资金价值31405.5美元的BUSD转入攻击者地址(0x27d6e5)。

整个过程,攻击者将通过闪电贷借出资金,将999.9 My Farm Pet Token通过MarketPlaceV2合约兑换成70555534.2 My Farm Pet:Chicken Food Token,再经过一系列的操作操纵My Farm Pet:Chicken Food Token 的价格,随后将所有兑换到的 My Farm Pet:Chicken Food Token通过MarketPlaceV3合约兑换成46249.3 My Farm Pet Token,最后将其通过PancakeSwap兑换成BUSD,归还闪电贷并获利。其根本原因在于攻击者通过攻击合约多次触发getBaseTokenPrice函数,这个函数中的价格预言机实现机制存在漏洞,使得能够操纵My Farm Pet:Chicken Food Token的价格。目前攻击者依旧在不断地通过混币平台Tornado.Cash将盗取资金转移。

SharkTeam独家分析 | 闪电贷攻击:MY FARM PET被黑事件分析

二、安全建议

此次事件是又一次与闪电贷有关的安全事件,DeFi项目的业务逻辑设计复杂,涉及的经济学计算和参数较多,却不同项目和协议之间可组合性极其丰富,很难预测,非常容易出现安全漏洞,而此问题也已出现在GameFi领域。如下表,利用闪电贷这种新型产品进行攻击的安全事件在过去的一年里层出不穷,已增加到44起。通常闪电贷攻击包括“哄抬套利”、“操纵预言机”、“重入攻击”和“技术漏洞”四种,本次属于基于利用“操纵预言机”进行的闪电贷攻击。

SharkTeam独家分析 | 闪电贷攻击:MY FARM PET被黑事件分析

SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。而作为项目方,智能合约安全关系用户的财产安全,至关重要!区块链项目方应与专业的安全审计公司合作,进行多轮审计,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。

SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容,全面保障智能合约安全。

SharkTeam独家分析 | 闪电贷攻击:MY FARM PET被黑事件分析

SharkTeam独家分析 | 闪电贷攻击:MY FARM PET被黑事件分析 由www.b2bchain.cn 提供
文章整理自网络,只为个人学习与分享使用
链接地址https://www.b2bchain.cn/?p=25189

赞(0) 打赏
部分文章转自网络,侵权联系删除b2bchain区块链学习技术社区 » SharkTeam独家分析 | 闪电贷攻击:MY FARM PET被黑事件分析
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

b2b链

联系我们联系我们