• 【超完整懶人包】認識比特幣!原理與應用全面解析|動區新手村
  • Account
  • Account
  • BlockTempo Beginner – 動區新手村
  • Change Password
  • Forgot Password?
  • Home 3
  • Login
  • Login
  • Logout
  • Members
  • Password Reset
  • Register
  • Register
  • Reset Password
  • User
  • 不只加密貨幣,談談那些你不知道的區塊鏈應用|動區新手村
  • 動區動趨 BlockTempo – 最有影響力的區塊鏈新聞媒體 (比特幣, 加密貨幣)
  • 所有文章
  • 最完整的「區塊鏈入門懶人包」|動區新手村
  • 服務條款 (Terms of Use)
  • 關於 BlockTempo
  • 隱私政策政策頁面 / Privacy Policy
動區動趨-最具影響力的區塊鏈新聞媒體
  • 所有文章
  • 搶先看
  • 🔥動區專題
  • 🔥Tempo 30 Award
  • 加密貨幣市場
    • 市場分析
    • 交易所
    • 投資分析
    • 創投
    • RootData
  • 區塊鏈商業應用
    • 金融市場
    • 銀行
    • 錢包
    • 支付
    • defi
    • 區塊鏈平台
    • 挖礦
    • 供應鏈
    • 遊戲
    • dApps
  • 技術
    • 比特幣
    • 以太坊
    • 分散式帳本技術
    • 其他幣別
    • 數據報告
      • 私人機構報告
      • 評級報告
  • 法規
    • 央行
    • 管制
    • 犯罪
    • 稅務
  • 區塊鏈新手教學
  • 人物專訪
    • 獨立觀點
  • 懶人包
    • 比特幣概念入門
    • 從零開始認識區塊鏈
    • 區塊鏈應用
  • 登入
No Result
View All Result
  • 所有文章
  • 搶先看
  • 🔥動區專題
  • 🔥Tempo 30 Award
  • 加密貨幣市場
    • 市場分析
    • 交易所
    • 投資分析
    • 創投
    • RootData
  • 區塊鏈商業應用
    • 金融市場
    • 銀行
    • 錢包
    • 支付
    • defi
    • 區塊鏈平台
    • 挖礦
    • 供應鏈
    • 遊戲
    • dApps
  • 技術
    • 比特幣
    • 以太坊
    • 分散式帳本技術
    • 其他幣別
    • 數據報告
      • 私人機構報告
      • 評級報告
  • 法規
    • 央行
    • 管制
    • 犯罪
    • 稅務
  • 區塊鏈新手教學
  • 人物專訪
    • 獨立觀點
  • 懶人包
    • 比特幣概念入門
    • 從零開始認識區塊鏈
    • 區塊鏈應用
  • 登入
No Result
View All Result
動區動趨-最具影響力的區塊鏈新聞媒體
No Result
View All Result
Home 區塊鏈商業應用 defi

BSC鏈上聚合器 Eleven Finance 遭駭!邏輯漏洞連環「閃電貸攻擊」,共損失 512 萬美元

PeckShield by PeckShield
2021-06-24
in defi, 安全, 專欄作者
A A
- Source : Eleven Finance GitBook -

- Source : Eleven Finance GitBook -

87
SHARES
分享至Facebook分享至Twitter

昨(23)日,PeckShield「派盾」預警顯示,BSC 鏈上收益聚合器 Eleven Finance 中與 Nerve 相關的機槍池遭到閃電貸攻擊。
(前情提要:BSC官方:8起閃電貸攻擊恐為「同一駭客組織」所為!)
(事件背景:被誤解的閃電貸:我只是一個工具 5 月 DeFi 安全事件 25 起、BSC 占 15 起)

 

PeckShield 透過追蹤和分析發現,此次攻擊源於 Eleven Finance 的 Emergencyburn() 計算餘額錯誤,且未執行銷毀機制,攻擊者獲利近 460 萬美元。

有趣的是,幾個小時後,本週剛從 Impossible Finance 攻擊獲利近 50 萬美元的駭客,利用 Eleven Finance 的漏洞,透過閃電貸攻擊再獲利近 52 萬美元。

延伸閱讀:BSC生態系「閃電貸攻擊」第九起! Impossible Finance 被駭流程分析

第一個攻擊者創建了 4 個合約,進行了 5 次攻擊。

筆者以合約 0x8b29 為例簡述攻擊過程:

  • 首先,攻擊者從 PancakeSwap 中借出 953,869.6 BUSD,並將其中 340,631.2 BUSD 兌換 474,387.75 NRV;
  • 隨後,攻擊者將 474,378.75 Nerve 和 366,962 BUSD 在 PancakeSwap 中添加流動性,獲得 411,515.3 LP token;
  • 攻擊者將 411,515.3 LP token 放入 Eleven Finance 中與 Nerve 相關的機槍池獲得 411,515.3 11 nrvbusd LP token;

當攻擊者提取 Pancake LP token 時,ElevenNeverSellVault 中的 Emergencyburn() 函數本應銷毀 11 nrvbusd LP token 換回 Pancake LP token,但 Emergencyburn() 並未執行 burn (銷毀)這個動作,使得攻擊者利用此邏輯錯誤獲利。

該攻擊者又創建了 0x01ea 合約,借出 30.9 BTCB;0xc0ef 合約借出 285.66 ETH 以及 0x87E9 借出兩筆閃電貸2,411,889.87 BUSD 和 7,693 BUSD 進行攻擊。

攻擊者利用集成的第三方合約功能進行攻擊,這類問題較難檢測到,例如,此前 PeckShield 幫助 Rari Capital 避免更大損失案例一樣,在定位漏洞根源時,由於合約交互容易干擾安全人員的判斷,PeckShield 建議,開發人員應謹慎與任意第三方協議進行交流。

DeFi 協議開發人員在集成第三方協議並將其部署到生產運行之前,應充分了解合約及其分支項目的運行情況。

DeFi 協議開發人員也應在項目上線前,先將其部署在測試網上進行測試並及時檢查交易記錄中的異常情況。

太快了,攻擊者從合約部署,到完成攻擊,甚至到再次發起攻擊,這一系列操作有時候快得讓人有些反應不過來。

PeckShield安全人員表示。

因此,事前審計,事中響應,事後提出及時有效的安全方案都是缺一不可的,誰都不知道攻擊者會不會在下一秒發起攻擊。

📍相關報導📍

BSC首現閃電貸攻擊/技術解析 Spartan Protocol 遭駭手法,造成 3 千萬美元損失

BSC 項目 PancakeBunny 遭閃電貸攻擊!估遭駭 2 億美元,BUNNY 暴跌 99%


讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。

LINE 與 Messenger 不定期為大家服務

加入好友

加入好友

Tags: DefiEleven Finance閃電貸駭客攻擊


關於我們

動區動趨

為您帶來最即時最全面
區塊鏈世界脈動剖析
之動感新聞站

訂閱我們的最新消息

動區精選-為您整理一週間的國際動態

戰略夥伴

Foresight Ventures Foresight News

主題分類

  • 關於 BlockTempo

動區動趨 BlockTempo © All Rights Reserved.

No Result
View All Result
  • 所有文章
  • 搶先看
  • 市場脈動
  • 商業應用
  • 區塊鏈新手教學
  • 區塊鏈技術
  • 數據洞察
  • 政府法規
  • RootData
  • 登入

動區動趨 BlockTempo © All Rights Reserved.