Balancer es atacado nuevamente, ¿DeFi tiene futuro?

Después de que CertiK capturó el ataque del Balancer a las 2 a. m. del 29 de junio, "Guantes vacíos: Análisis del ataque del balancer", a las 8:00 p. m. y a las 11:23 p. Los contratos DeFi con principios similares fueron anormales, y las dos anomalías ocurrieron en el bloque número 10360609 y el bloque número 10361515 respectivamente. A diferencia del ataque del día 29 que simplemente explotó lagunas contractuales, esta vez los piratas informáticos utilizaron inteligentemente el modelo financiero Compund para generar una gran cantidad de tokens COMP de la nada. El proyecto estrella de DeFi fue atacado tres veces en un día, lo que hizo que los partidarios se preocuparan por el futuro de todo el mercado de DeFi. Descripción general del evento de escaneo de Skynet El 29 de junio, después de que el atacante tomó prestados y acuñó tokens del préstamo flash dYdX, obtuvo tokens cWBTC y cBAT a través del préstamo flash uniswap, y luego distribuyó los tokens prestados en una gran cantidad en el conjunto de tokens de Balancer. activando el mecanismo de lanzamiento aéreo del protocolo Compound, obteniendo los tokens COMP lanzados desde el aire y luego usando la función gulp() de Balancer para actualizar la cantidad de grupos de tokens, tomando todos los tokens y devolviendo el préstamo flash. El atacante es equivalente a aprovechar el modelo financiero del protocolo Compound, los préstamos flash y las lagunas del código Balancer, creando COMP de la nada, con una ganancia total de alrededor de 11.5ETH. BKEX Global cotizará BREE a las 16:30 el 14 de septiembre: Según el anuncio de BKEX Global, BKEX Global cotizará BREE (CBDAO) a las 16:30 el 14 de septiembre de 2020 (UTC+8), par comercial abierto: BREE/ USDT. El propósito de CBDAO es servir como una caja de arena para que los usuarios experimenten y prueben los diversos protocolos de consenso que ayudan a controlar el DAO. El mecanismo de consenso inicialmente establecido será el “Incentive Governance Protocol”, un modelo inventado por CBDAO que simplifica e incorpora la solución del modelo de consenso holográfico a un nivel totalmente descentralizado. [2020/9/12] Retrato psicológico de los atacantes de CertiK Los dos ataques a las 8:00 p. m. y 11:00 p. m. del 29 de junio utilizaron la misma técnica y la misma dirección de pago, y fueron confirmados como un equipo. Aunque estos dos ataques y el ataque a las 2 a. m. del día 29 utilizaron el gulp() del contrato Balancer, los métodos de ataque fueron diferentes. Los dos últimos ataques utilizaron las lagunas en el modelo financiero de Compound en lugar de las lagunas del código puro. Además, la ganancia de los últimos dos ataques es mucho menor que la del primer ataque, y el hacker que llevó a cabo el primer ataque no tiene motivación para atacar de nuevo. CertiK consideró que los últimos dos ataques fueron ataques de imitación llevados a cabo utilizando principios similares 14 horas después del primer ataque. BKEX Global listará PERP a las 18:30 de hoy: según el anuncio de BKEX Global, BKEX Global listará PERP (Protocolo Perpetuo) a las 18:30 el 10 de septiembre de 2020 (UTC+8) y pares comerciales abiertos: PERP/USDT. El Protocolo Perpetuo es un proyecto sobre la combinación de contrato perpetuo y AMM. Puede proporcionar operaciones de apalancamiento 20 veces mayores y operaciones largas y cortas, que pertenecen al diseño del creador de mercado automático. [2020/9/10] Nuevos desafíos en la seguridad de DeFi Este ataque aprovechó principalmente lagunas en el diseño del modelo financiero, en lugar de lagunas en el nivel de código. Este nuevo modo de ataque generado por el mercado DeFi hace que el único servicio de "auditoría de código" de la mayoría de las empresas de seguridad de blockchain sea inútil. Las tecnologías de seguridad tradicionales que solo se enfocan en el nivel de código y no pueden analizar modelos abstractos no pueden hacer frente a los nuevos desafíos que presenta DeFi. DeFi sin protección a nivel de modelo solo puede reducirse a un cajero automático para piratas informáticos que están familiarizados con el modelo financiero de DeFi. ¿La advertencia de seguridad de DeFi está haciendo más daño que bien? Este ataque de imitación ha hecho que muchas personas cuestionen a la empresa de seguridad blockchain: ¿El artículo de análisis de la empresa de seguridad enseñará a más personas a atacar? ¿Por qué varias advertencias de seguridad no lograron mejorar el entorno de seguridad? ¿Realmente todavía necesitamos alertas de seguridad? BKEX Global listará MANA a las 20:30 de hoy: según el anuncio de BKEX Global, BKEX Global listará MANA (Decentraland) a las 20:30 el 6 de agosto de 2020 (UTC+8) y abrirá pares comerciales: MANA/USDT . Decentraland es una plataforma virtual compartida distribuida. En esta plataforma, los usuarios pueden navegar y descubrir contenido, interactuar con otras personas y entidades y reclamar la propiedad de territorios virtuales a través de un registro de tierras basado en blockchain. [2020/8/6] El punto de vista de CertiK es que no solo se necesita una advertencia de seguridad, sino también ¡más rápido y más profundo! A diferencia de los sistemas de software tradicionales, todas las transacciones y llamadas de contratos en la cadena de bloques son abiertas y transparentes. Después del ataque, los registros de transacciones en la cadena de bloques son los libros de texto más sencillos para los piratas informáticos. Las empresas de seguridad de la cadena de bloques deben emitir advertencias antes de imitar ataques para proteger a las empresas relacionadas. Sin embargo, los frecuentes ataques recientes han demostrado una vez más que las advertencias de seguridad están lejos de ser suficientes y no pueden cambiar el estado de seguridad actual de DeFi e incluso de toda la cadena de bloques. ¿Todavía hay una posibilidad para la seguridad de DeFi? Para cambiar fundamentalmente el estado de seguridad de DeFi, debemos introducir un nuevo mecanismo de seguridad para nuevos contratos inteligentes (como DeFi, IoT). Este tipo de mecanismo de seguridad debe poder analizar la capa del modelo, debe poder adaptarse al desarrollo de nuevos contratos e intentar interceptar el ataque en lugar de advertir después del ataque. El equipo de CertiK está desarrollando un nuevo mecanismo seguro de DeFi basado en CertiK Chain, CeDeFi (Certified DeFi), es decir, DeFi confiable, que se cree que cambiará por completo el estado actual de seguridad pasiva en el futuro. BKEX Global cotiza UNC hoy: según las noticias oficiales de BKEX Global, BKEX Global ha incluido UNC (UniCrypt) a las 9:00 el 4 de julio de 2020 (UTC+8), y el par comercial en línea: UNC/USDT. El proyecto de fondo de liquidez en la plataforma Uniswap proporciona un fondo de liquidez descentralizado para intercambios descentralizados y se convertirá en una infraestructura DeFi importante para el ecosistema de Uniswap. [2020/7/4] Recuperación de ataque Tome el ataque a Balancer a las 11:00 p. m. como ejemplo: Paso 1: Tome prestados tokens WETH, DAI y USDC de dYdX a través de préstamos flash, y las cantidades son 103067.20640667767, 5410318.972365872 y 5737595.813492 respectivamente Paso 2: use los tokens obtenidos en el paso 1 para acuñar tres tokens (cETH, cDAI y cUSDC). Noticias | Global Profit Technologies anunció el lanzamiento de la criptomoneda GCU: Según Globe Newswire el 2 de julio, la empresa estadounidense que cotiza en bolsa Global Profit Technologies, Inc. (OTCMKTS: GLPT) anunció que ha desarrollado y lanzado una nueva unidad de moneda global de criptomoneda ( GCU). GCU es un token de utilidad digital creado en la plataforma de cadena de bloques Ethereum. Su propósito principal es servir como método de pago para el nuevo software de agente comercial de criptomonedas completamente automatizado de GLPT y las tarifas de transacción de Global Profit Exchange. Los dos últimos están actualmente Ambos están en el etapas finales de desarrollo y se espera que se lancen en el cuarto trimestre de 2019. [2019/7/3] Paso 3: Use uniswap para pedir prestado (prestar) y acuñar (mint) tokens cWBTC y cBAT a través de un préstamo flash. Paso 4: Llevar el cWBTC y el cBAT obtenidos al conjunto de tokens En este momento, el número de cWBTC y cBAT que posee el atacante es 4955.85562685 y 55144155.96523628 respectivamente. Paso 5: use cWBTC y cBAT para realizar una gran cantidad de transacciones en el conjunto de tokens, activando así la operación Airdrop y distribuyendo COMP no atribuido al conjunto de tokens. Paso 6: Llame a la función gulp() para sincronizar el número de COMP actual con el contrato inteligente de Balancer y elimine cWBTC, cBAT y el COMP adicional agregado al conjunto de tokens. Al salir del grupo de tokens, el número de cWBTC y cBAT que posee el atacante también es 4955.85562685 y 55144155.96523628. Pero debido al COMP adicional generado a través de una gran cantidad de transacciones en el conjunto de tokens, el atacante obtuvo tokens COMP adicionales. Aquí, el atacante también puede optar por ingresar directamente a otros grupos de tokens, reutilizar el método de ataque del paso 1 al paso 6 y obtener tokens COMP adicionales. Paso 7: Paga los préstamos flash de uniswap y dYdX, y sal del mercado. Paso 8: el atacante aún puede usar el mismo método (paso 1 a paso 7) para lanzar ataques en otros grupos de tokens. El mecanismo de ataque es similar, pero los tipos de tokens prestados a través de préstamos flash y utilizados para ataques son ligeramente diferentes.

Tags：

DAI