Primera versión | Los ataques de préstamos relámpago ocurren con frecuencia, lo que lo lleva de vuelta al principio y al final del ataque a BT.Finance.

Este artículo fue creado originalmente por Certik y autorizado por Jinse Finance para su publicación.

En 2020, los frecuentes ataques de préstamos rápidos se han convertido en la "nueva normalidad" en los incidentes de seguridad.

En 2021, para los piratas informáticos, los ataques de préstamos flash todavía parecen ser "perseverantes".

El 9 de febrero, hora de Beijing, el equipo de tecnología de seguridad de CertiK descubrió que el agregador inteligente de ingresos de DeFi BT.Finance fue pirateado.

BT.Finance ha detenido temporalmente los depósitos en Curve.fi para evitar otro ataque. Las estrategias bajo ataque incluyen ETH, USDC y USDT, y otras estrategias no se ven afectadas.

LBANK Blue Shell lanzó DORA a las 18:00 el 22 de marzo y abrió el comercio de USDT: según el anuncio oficial, a las 18:00 del 22 de marzo, LBANK Blue Shell lanzó DORA (Dora Factory), abrió el comercio de USDT y ahora está abierto para recargar

Según los datos, Dora Factory es una infraestructura DAO como servicio basada en Polkadot, una plataforma de protocolo de gobernanza en cadena abierta y programable basada en Substrate, y proporciona votación cuadrática, subastas de curvas y Bounty para una nueva generación de organizaciones descentralizadas y desarrolladores Funciones de gobernanza conectables, como incentivos y gestión de activos entre cadenas. Al mismo tiempo, los desarrolladores pueden enviar nuevos módulos de gobernanza a esta plataforma de DAO como servicio y recibir incentivos continuos. [2021/3/22 19:07:06]

BT.Finance afirmó que existen fondos de gestión para seguros e indemnizaciones. Para el buen desarrollo de los inversores y DeFi, se espera que los piratas informáticos puedan devolver los fondos.

Anuncio | Huobi Global Estreno mundial del Proyecto PAI a las 16:00 el 29 de junio: Huobi Global lanzará el servicio de depósito del Proyecto PAI (PAI) a las 16:00 el 29 de junio, hora de Singapur. A las 16:00 horas del 2 de julio se abrirán transacciones PAI/BTC, PAI/ETH en la Zona de Innovación. El servicio de retirada de PAI se abrirá a las 16:00 horas del 6 de julio. [2018/6/29]

Además, la protección de la tarifa de retiro de BT.Finance redujo el daño de este ataque en casi $140,000. Según ICO Analytics, se vieron afectados aproximadamente $1.5 millones de fondos.

El equipo técnico de seguridad de CertiK lanzó inmediatamente un análisis y ahora analiza los detalles del proceso de ataque de la siguiente manera:

El debut de IMEOS, EOS Go, anuncia dos nuevas condiciones de registro: Según el informe de IMEOS, socio de Jinse Finance: Hoy, EOS Go anunció dos nuevas condiciones de registro en Steemit:

1. Plan para garantizar la seguridad: si el nodo candidato publica un artículo en Steemit para presentar el método y el plan de seguridad del nodo. El estándar del "método de seguridad" es una oportunidad para mostrar a los votantes de EOS el conocimiento de las mejores prácticas de seguridad y el plan de implementación de la organización;

2. Posición: describa la posición del nodo para compartir recompensas por inflación y/o distribuir dividendos a los poseedores de tokens EOS (los nodos candidatos se publican en Steemit). Se desarrollan principalmente los siguientes dos temas:

¿La organización proporcionará pagos a los votantes de tokens de EOS por algún motivo, incluidas las elecciones de BP y el asesoramiento de la comunidad?

¿Tiene la organización una política escrita de no pago de entradas? Si es así, proporcione un enlace. [2018/4/27]

El atacante primero tomó prestados alrededor de 100 000 ETH de dydx mediante préstamos flash.

El atacante depositó aproximadamente 57 000 ETH en el grupo de Curve sETH.

El atacante retira sETH del pool de Curve sETH. Debido a la gran cantidad de ETH depositada, el precio de sETH sube. En este momento, el atacante retira alrededor de 35,000 sETH.

El atacante depositó alrededor de 4340 ETH en el grupo de políticas ETH de bt.finance.

El atacante llama a la función de ganancia.

El atacante deposita todo el sETH retirado en el paso 3 en el grupo de Curve sETH y retira el ETH, y finalmente activa la función de retiro del grupo de políticas de ETH de bt.finance para retirar todo el ETH almacenado en el grupo.

Repita los 2-5 pasos anteriores 5 veces y devuelva el préstamo flash para completar la ganancia. la

Transacciones realizadas por el atacante en un solo ataque

El atacante realizó el mismo ataque cinco veces.

Los altos rendimientos deben ir acompañados de altos riesgos.

Casi todos los bloques de aplicaciones de la cadena de bloques contienen contratos inteligentes, y las auditorías de seguridad del código subyacente y los patrones de diseño son la máxima prioridad para proteger el proyecto.

CertiK recomienda una vez más que las partes del proyecto presten atención a evitar riesgos, y los inversores deben verificar si el proyecto tiene una revisión de seguridad completa y las garantías de seguridad posteriores antes de invertir.

A finales de 2020, CertiK ha realizado más de 369 auditorías de seguridad, ha auditado más de 198 000 líneas de código y ha protegido más de $10 000 millones en activos cifrados.

Enlace de referencia

https://ethtx.info/mainnet/0xc71cea6fa00d11e98f6733ee8740f239cb37b11dec29e7cf85d7a4077977fa65

https://twitter.com/doug_storming/status/1358896348276391939?s=20

Tags：

ETH