网络安全技术 ·

项目方吹牛惨遭黑客打脸,攻击又损失600万美元!


文章来源:安全圈

刚曝光了个被黑客攻击的项目,大概损失了两百万刀。今天则是又收到另一个项目被闪电贷攻击的消息。下面来看看。

当然此事的起因是,项目方有点装逼。如下面这个推,为什么说Value的Vault在DeFi领域是最安全并且最先进的。原因一就是闪电贷攻击阻止。

没想到很快就被打脸了。黑客对Value DeFi协议进行闪电贷攻击,损失将近 740 万美金的 DAI。黑客在偷走代币后还留言“do you really know flashloan?”来挑衅开发团队。意思是你真的懂什么叫闪电贷吗?

随后该项目方发推,损失了600万美元的资产,目前在探索如何减少对用户的影响,不过我估计也就是最多最多发个欠条了,600万美元并不是个小数目。

根据派盾分析得,黑客通过Aave闪电贷了差不多8万个以太坊,共计3680万美元,在Uni上闪电贷得1.16亿枚dai,此后以太坊在uniswap上换成3100万枚USDT。在Vaule上存入2500万枚DAI获得2490枚池子中的相应代币,Vault铸币2495.6万枚3crv。

在 Curve 上将9,000万枚 DAI 换成9,028万枚 USDC,进而抬升 USDC 的价格。在 Curve 上将3,100万枚 USDT 换成1,733万枚 USDC,此时可以看到 USDC 兑换价格已经有很大的偏差,完成这一步后,会进一步提升 Curve 上 3pool 池子中 USDC 的价格。

在 Value DeFi 上销毁之前铸造的2,490万枚 pooltokens,这部分 pooltokens 又赎回了3,308万枚 3crv(算算可以知道比起铸造多了812.4万枚,这是由于DAI便宜了,所以赎回的3crv变多了。

接下来,黑客在Curve再度反向操作,大约赚得86万DAI。将1,733万枚 USDC 在 Curve 上换回3,094万枚 USDT,将9,028万枚 USDC 在 Curve 上换回9,092万枚 DAI,销毁 3pool 中的3,308万枚 3crv 来赎回 3,311 万枚 DAI,相比于存款时的代币数量,整整多了815.4万DAI。

这次攻击之后,黑客返回给 Value DeFi 开发者200万枚 DAI,自己则保留了540万枚DAI。

能在AAVE上贷款8万个以太坊,这想来就不是个普通人了,而且这些操作一气呵成,通过操作汇率最后完成获利。

目前看了下黑客的操作,估计一个就是为了教训下大意的项目方,此外当然也不排除收益聚合器同行的攻击,反正现在的钱已经落在了黑客的手里,不知道后续怎么解决。之前有个黑客被抓是在1inch上的IP暴露了。

在这里也给各位提醒一下,目前DeFi白嫖来说,一个是相对的年化已经较低了,而且特别是在curve上做策略的这些聚合器,curve目前的资金较分散,最近曝光的三次闪电贷攻击都是操控curve上的汇率来实现的。所以目前再做稳定币的理财,并不是那么可取了,收益和风险不成正比,可能亏一次你20%就没了。

当然个人觉得,这明显是有漏洞存在的,黑客甚至可以说只是利用了自己的资金和数学技巧来撬动了这个事情。

参与评论