El atacante obtuvo $ 350 000.¿Cómo resuelve DeFi los problemas de arbitraje y centralización poco éticos?

Un comerciante "inteligente" ha obtenido la friolera de $ 350,000 en ganancias a través de varios protocolos en el espacio de finanzas descentralizadas (DeFi).

Un conjunto inteligente de instrucciones, todas ejecutadas en una gran transacción, permite que alguien se beneficie de las debilidades actuales del ecosistema DeFi. Mediante el uso de algunos instrumentos financieros descentralizados y una pequeña cantidad de manipulación de precios, pudieron adquirir grandes cantidades de ETH.

Agencia de seguridad: los atacantes de Ronin han transferido acumulativamente 13 100 ETH a Tornado. Efectivo: Jinse Finance informó que, según las estadísticas de la agencia de seguridad PeckShield, a partir de las 17:00 del 9 de abril de 2022, las direcciones de los atacantes de Ronin han acumulado 13 100 ETH (aproximadamente $ 42 millones) se transfirieron a Tornado.Cash, y 159,710 ETH (aproximadamente $ 512 millones) se mantuvieron en la billetera. [2022/4/9 14:15:04]

Julien Bouteloup, fundador de la firma de inversión DeFi Stake Capital, ilustró cuán compleja es esta transacción de múltiples capas. Aproximadamente describió lo que sucedió.

Un breve análisis del pirateo de Grim Finance: los atacantes prestaron tokens WFTM y BTC a través de préstamos flash: según SlowMist, el 19 de diciembre de 2021, el proyecto Grim Finance en la cadena Fantom fue atacado. El equipo de seguridad de SlowMist lo compartirá con usted en forma de boletín después de analizarlo.

1. El atacante presta tokens WFTM y BTC a través de préstamos flash y agrega liquidez a SpiritSwap para obtener certificados de liquidez SPIRIT-LP.

2. Luego, el atacante usa la función depositFor en el contrato GrimBoostVault de Grim Finance para realizar operaciones de hipoteca de liquidez, y depositFor permite a los usuarios especificar los tokens transferidos y transferir los tokens especificados por el usuario a GrimBoostVault a través de safeTransferFrom. la recepción esperada de tokens (que se espera recibir tokens de búsqueda, que deberían ser SPIRIT-LP en este ataque) es emitir certificados hipotecarios para los usuarios.

3. Sin embargo, dado que la función depositFor no verifica la legitimidad del token transferido por el usuario, el atacante pasa la dirección del contrato del token creada maliciosamente por el atacante al llamar a la función depositFor. Cuando GrimBoostVault llama a la función transferFrom del contrato malicioso a través de la función safeTransferFrom, el contrato malicioso vuelve a entrar y vuelve a llamar a la función depositFor. El atacante volvió a ingresar varias veces y transfirió certificados de liquidez reales de SPIRIT-LP como garantía en la última vez. Esta operación aseguró que hubiera una diferencia en los tokens que GrimBoostVault esperaba recibir antes y después del reingreso. Luego, la función depositFor calcula y emite el certificado de hipoteca correspondiente para el atacante en función de esta diferencia.

4. Dado que el atacante volvió a entrar en el contrato GrimBoostVault muchas veces, el contrato GrimBoostVault acuñó muchas más credenciales hipotecarias para el atacante de lo esperado. El atacante usó esta credencial para retirar mucha más credencial de liquidez de SPIRIT-LP que la que se había apostado previamente en el contrato de GrimBoostVault. Luego, el atacante usó este certificado de liquidez SPIRIT-LP para eliminar la liquidez para obtener tokens WFTM y BTC y devolver el préstamo flash para completar la ganancia.

Este ataque se debe al hecho de que la función depositFor del contrato GrimBoostVault no verifica la legitimidad del token pasado por el usuario y no tiene un bloqueo anti-reentrada, por lo que los usuarios maliciosos pueden pasar direcciones de tokens maliciosos para volver a ingresar. depósitoPara obtener mucho más de lo esperado Certificado de hipoteca. El equipo de seguridad de SlowMist recomienda que los parámetros pasados ​​por el usuario se verifiquen para ver si cumplen con las expectativas, y los riesgos de ataques de reingreso causados ​​por llamadas externas deben estar bien controlados para llamadas externas en funciones. [2021/12/19 7:49:04]

Señaló que los préstamos rápidos de 10 000 ETH podrían ser el problema. La mitad de los fondos se destinaron a la plataforma de préstamos Compound para BTC envuelto (Bitcoin en Ethereum). Lo que queda es la garantía para la venta en corto, la creencia de que los precios bajarán, es decir, las transacciones de wBTC en la plataforma de negociación de margen Fulcrum. Luego, la cuenta vendió wBTC al intercambio descentralizado Uniswap. El precio cayó y el pirata informático cobró con una ganancia, devolviendo el préstamo original.

Lingzong Security: en el ataque al fondo común DODO, el atacante se saltó la verificación de saldo y robó los activos del par de transacciones V2: según el informe de Lingzong Security, recientemente, el fondo común del intercambio DODO fue atacado. El análisis del evento es como sigue:

En este ataque, el usuario toma prestados activos a través del préstamo flash en el par de transacciones DODOV2 y luego llama a la función init sin restricciones de permiso en la función de devolución de llamada para restablecer la dirección del token relevante del contrato del par de transacciones, omitiendo así la verificación de saldo y robando Activos para pares comerciales V2.

La clave de esta vulnerabilidad es que la función de inicio del par de transacciones DODO no tiene permisos establecidos y se puede configurar varias veces, por lo que todos los pares de transacciones V2 corren el riesgo de ser atacados. [2021/3/9 18:28:52]

Sin embargo, el pirata informático le dijo a la gente cómo se pueden usar varias herramientas DeFi juntas para obtener ganancias poco éticas, y también destacó cuán centralizadas son estas herramientas DeFi.

Ayer, bZx, que mantiene el protocolo Fulcrum, publicó una actualización sobre la situación. La empresa afirma que ninguno de los usuarios de su plataforma se perdió.

La plataforma también declaró que los atacantes dejaron $600,000 en wBTC en el intercambio. Planean distribuir el dinero a otros usuarios del intercambio.

Sin embargo, para hacer esto, la plataforma necesita usar su "clave de administrador".

Esencialmente, esta clave administrativa es difícil de integrar en el protocolo, lo que permite que bZx tome el control de cualquier contrato inteligente (los fondos están en el contrato inteligente) como último recurso. El propósito de administrar claves es precisamente para situaciones en las que hay un problema con el sistema y hay una gran cantidad de dinero contenida en él.

Sin embargo, la gestión de claves demuestra que existe un punto central de falla, y los usuarios deben confiar en el equipo detrás de la transacción de que no robarán el dinero de todos. Teniendo en cuenta que el objetivo de DeFi es eliminar esta confianza, esto parece ser una debilidad considerable.

No sorprende que los protocolos DeFi quieran un mecanismo de seguridad. El proyecto experimental más grande de Ethereum, el DAO, que alguna vez tuvo el 14% de todo Ethereum, fracasó debido a un error de código. Como resultado, se reescribió toda la cadena de bloques de Ethereum para que todos pudieran recuperar su dinero. Pero el movimiento interrumpió la red y generó muchas críticas.

Esta vez, Fulcrum usará sus claves de administración para ahorrar tiempo, pero en un movimiento que expone su naturaleza centralizada, plantea más preguntas que respuestas.

Tags：

FTX