三天两次连攻Value DeFi的组合创新与风险

Value DeFi 再次遭到黑客攻击,损失约 1,470 万美元。

三天两次连攻 Value DeFi 的组合创新与风险

在 DeFi 协议里,创新与风险并存,他们一次次从攻击中吸取教训,或又一次次被“攻击者”吊打。

 Peck Shield

组合创新 迷人又危险

继 5 月 5 日, DeFi 协议 Value DeFi 遭攻击其 vStake 池子受影响后,5 月 8 日, DeFi 协议 Value DeFi 再次遭到黑客攻击。

PeckShield 「派盾」通过追踪和分析发现,该攻击源于 Value DeFi 的 vSwap 合约代码出现漏洞遭到攻击,损失约 1,100 万美元。

vSwap 是 Value DeFi 的旗舰产品之一,它是一个基于以太坊和 BSC 币安智能链的自动代理做市商,允许任何人创建具有灵活比率对的交易池,提供流动性,并赚取交易费用。

 Peck Shield

资产损失&资金流转

三天两次连攻 Value DeFi 的组合创新与风险

在此次 Value DeFi 安全事件中,其 3/4 的资金池遭到攻击:

- vBSWAP/WBNB (70/30)

- gvVALUE/BUSD (98/2)

- BDO/BUSD (80/20)

- vBSWAP/BUSD (98/2)

- FARM/WBNB (70/30)

- IRON/STEEL (60/40)

- BDO/vBSWAP (70/30)

- BAC/BUSD (80/20)

- BASv2/WBNB (60/40)

被盗资产包含:15,000 BNB、2,700 FARM、1,700 BASv2、8,500万 BDO、68,300 BUSD、41,400 MDG、945,000 VBOND、1,200 万 BAC、11,000 FIRO。

三天两次连攻 Value DeFi 的组合创新与风险

经 PeckShield 「派盾」旗下反洗钱态势感知系统 CoinHolmes 追踪发现,攻击者快速将这些被盗虚拟资产经去中心化交易所 1inch 中转换为约合 3,240 anyETH,并从 AnySwap 将所盗资产流出。

 Peck Shield

攻击过程

以下是攻击过程:首先攻击者利用 0.05 WBNB 兑换出 1 WEI vBSWAP 和 3,543.083896847545353949 WBNB。

由于基于以太坊的 Value DeFi 协议 Fork 去中心化交易所 Uniswap 的代码,值得注意的是 Uniswap 仅支持按 50:50 的价值比例添加流动性,而在 BSC 上的 Value DeFi 效仿 Bancor 允许用户按不同价值比例投入到资金池中,在组合过程出现漏洞;

三天两次连攻 Value DeFi 的组合创新与风险

由于 power() 函数不支持 “_baseN<_baseD”的情况,出现漏洞被攻击者利用。

攻击者在同一个池中将 WEI vBSWAP 兑换为 WBNB,并重复此操作获利。

 Peck Shield

防范与警示

DeFi 仍是一场充满创新的实验,DeFi 协议们构建新金融体系的同时也是在检验新的想法。但这也意味着漏洞经常出现在真实代码的“创新”之处,这些漏洞可能会被伺机待发的黑客盯上,而我们能做的就是尽可能减少被攻击的次数,不沦为刀俎。

PeckShield「派盾」提示注意排查与其他 DeFi 产品进行组合时的业务逻辑漏洞,避免出现跨合约的逻辑兼容性漏洞,即使一个小的更改都可能触发组合漏洞。

声明: 鸵鸟区块链所有发布内容均为原创或授权发布,如需转载,请务必注明文章作者以及来源:鸵鸟区块链(微信公众号:MyTuoniao),任何不尊重原创的行为鸵鸟区块链都将进行责任追究!鸵鸟区块链报道和发布内容,不构成任何投资建议。
相关文章