首页 > DEFI > 比特币招商|Warp Finance 遭闪电贷攻击被盗 780 万美元,黑客却一无所获?
PeckShield派盾  

比特币招商|Warp Finance 遭闪电贷攻击被盗 780 万美元,黑客却一无所获?

摘要:PeckShield 表示, Warp Finance 在攻击中损失约 780 万美元, 但被盗资金目前还被锁在抵押金库中。原文标题:《Warp Finance

PeckShield 表示, Warp Finance 在攻击中损失约 780 万美元, 但被盗资金目前还被锁在抵押金库中。

原文标题:《Warp Finance 发生闪电贷攻击了?黑客还没捞着钱》
撰文:PeckShield

又双叒叕发生闪电贷攻击了?

今日上午 6 时 34 分,流动性 LP 代币抵押借 DeFi 借贷协议 Warp Finance 遭遇闪电贷攻击,被盗约 780 万美元。

区块链安全公司 PeckShield (派盾)安全人员表示:「此次攻击导致 Warp Finance 损失约 780 万美元, 但攻击者的手法并不完美,逾 9.4 万 LP tokens 仍锁在抵押金库中。

Warp Finance 遭闪电贷攻击被盗 780 万美元,黑客却一无所获?

PeckShield (派盾)通过追踪和分析发现 ,攻击者从 dYdX 和 Uniswap V2 借出 4 笔闪电贷,共计 290 万 DAI 和 34.48 万 WETH。

随后,攻击者在 Uniswap V2 中抵押 290 万 DAI 和 4519 WETH 来提供流动性,铸造 9.4349 万 LP tokens,所铸造的 tokens 转换为 WarpVaultLP,作为攻击者的质押凭证。 值得注意的是,此时 LP tokens 的价格为 58.8 USDC

接下来,攻击者在 Uniswap V2 中将 34.1 万 WETH 兑换为 4760 万 DAI,进而抬高 DAI 的价格,使得 LP tokens 的价格翻了一番, 达到 135.5 USDC;

通过抬高 LP tokens 的价格和重置喂价预言机凭证的价格,有利于攻击者进一步在 Warp Finance 中借出 386 万 DAI 和 390 万 USDC (合计约 780 万美元);

最后,攻击者只要还上在 dYdX 和 Uniswap V2 中的闪电贷即可将这 780 万美元纳入囊中。 不过,据 PeckShield (派盾)分析,被盗收益目前还被锁在抵押金库中。

闪电贷攻击频发,为何黑客还能得手?

据 PeckShield (派盾)统计,今年发生近 10 起利用闪电贷的 DeFi 安全事件,包括 bZx、Balaner、Havest、Akropolis、Cheese Bank、Value DeFi 和 Origin Protocol 等。

Warp Finance 遭闪电贷攻击被盗 780 万美元,黑客却一无所获?

闪电贷攻击一般指结合闪电贷和其他漏洞,进行套利和操纵价格等的攻击。事实上,闪电贷本身并不是漏洞,不过作恶者可以利用它,以极低的成本套取巨额资金,在多个协议间进行价格操纵或套利。

PeckShield (派盾)相关负责人解释道:「区块链上的闪电贷是一种不需要抵押就可以借贷的贷款方式,但贷方必须在同一区块内还贷,否则这个交易就会失败。所以闪电贷对借款平台来说基本是零成本、零风险。而黑客就可以利用这样的贷款方式,以很小的成本借出大笔资金,然后用这笔资金去造成一些数字资产的价格波动,再从中渔利。」

由于闪电贷攻击频发,这个功能备受诟病,被认为是黑客的提款机;但也有观点认为它让协议的漏洞更早暴露出来,有利于提升协议的安全。

PeckShield (派盾)相关负责人建议:「根据闪电贷的特性,借贷和取款都要在一个区块内完成,所以对 DeFi 协议开发方来说,更稳妥的设计是不允许在同一个区块内存款和取款,这样试图利用闪电贷的黑客便无计可施。」

作为新兴的借贷模式,闪电贷在创新上极具魅力,但它不应成为黑客的镰刀。DeFi 协议开发者应在攻击发生后,应自查代码。PeckShield (派盾)提示,如果对此不了解,应找专业的审计机构进行审计和研究,防患于未然。

免责声明
世链财经作为开放的信息发布平台,所有资讯仅代表作者个人观点,与世链财经无关。如文章、图片、音频或视频出现侵权、违规及其他不当言论,请提供相关材料,发送到:2785592653@qq.com。
风险提示:本站所提供的资讯不代表任何投资暗示。投资有风险,入市须谨慎。
世链粉丝群:提供最新热点新闻,空投糖果、红包等福利,微信:juu3644。