本月安全問題頻出,DeFi專案風控機制有待完善

買賣虛擬貨幣

5月30日,據PeckShield預警顯示,多策略收益最佳化的AMM協議Belt Finance遭到閃電貸攻擊。透過追蹤和分析,PeckShield發現此次攻擊源於攻擊者透過重複買入賣出BUSD,利用bEllipsisBUSD策略餘額計算中的漏洞操縱beltBUSD的價格進行獲利。

從具體攻擊過程來看,攻擊者首先是從PancakeSwap中借出8筆閃電貸,並將其中1千萬BUSD存入bEllipsisBUSD策略中;其次,他們將貸出的1.87億BUSD繼續存入bVenusBUSD策略,再透過Ellipsis合約將1.9億BUSD兌換為1.69 億USDT,並重復7次“提現——兌換——充值”操作。

由於beltBUSD的價格依賴於所有機槍池餘額的總和,因此攻擊者將BUSD存入bVenusBUSD策略,再提出BUSD。從理論上來說,由於資產數量不變,即使攻擊者重複多次操作,也不會獲利。但是,他們如果操縱其他策略的話,beltBUSD的價格就會受到影響。

在此次攻擊中,攻擊者透過多次買入賣出BUSD,再利用bEllipsis策略餘額計算中的漏洞,操縱了價格。隨後,攻擊者透過Nerve(Anyswap)跨鏈橋將所獲資產分批次轉換為ETH。

據統計,2021年5月,至少有15個專案遭到駭客攻擊,累計損失已超過2.5億美元,與2020全年以太坊Defi生態總共損失的1.2億美元相比,當月損失總額已經超過去年的100%。這是DeFi歷史上遭遇攻擊頻次最高、損失最大的一個月。

在本月的駭客攻擊中,閃電貸是最主要的攻擊手法,至少有7個專案因此遭到攻擊。而BSC是駭客最活躍的平臺,至少有10次攻擊都發生在BSC公鏈。並且,本月受到攻擊的涉及金額普遍較大,至少有7個專案的損失金額超過1000萬美元,最高的Venus損失金額則超過1億美元。

火幣研習社認為,近期DeFi安全問題頻出,這提醒我們目前DeFi生態的發展還處於相對早期,該領域的專案風控機制有待完善。為提高DeFi專案的安全性,有關方面應確保原始編碼安全準確,並利用高階審計和測試工具來進一步提高程式碼質量;在透過高階安全稽覈工具進行程式碼稽覈之後,專案方還應該使用所有可用的外部資源進行全面的外部安全稽覈;在稽覈完成後,專案方還可以進行本地實際網路測試,邀請社羣成員和團隊測試智慧合約,這有助於識別難以發現的隱藏錯誤;最後,圍繞專案本身甚至還可以發起一個尋找漏洞的賞金計劃,邀請白帽駭客社羣的成員參與並激勵他們查詢專案的安全漏洞。

行情分析

BTC日內下跌回升,成交量相對萎靡

根據火幣全球站資料顯示,BTC早間延續凌晨的下跌,最低至34149.63USDT,隨後日內開始反彈,目前最高至36388.00USDT。一小時級別來看,早間下跌在34400附近得到了支撐,近期BTC持續在低位震盪,震盪區間上沿在37300一線,下沿在33800一線。日線級別來看,BTC迎來二連陽,處於相對低位。晚間持續關注上漲趨勢的延續情況以及上方37300的突破情況和下方34400的支撐情況。

根據火幣全球站資料顯示,ETH早間小幅下跌,最低至2272.00USDT,隨後在2300附近短時橫盤,下午開始反彈,目前最高至2521.62USDT,成交量相對萎靡。一小時級別來看,ETH近期持續在低位震盪橫盤,日內反彈突破了前期2460的阻力位,上方阻力位在2540一線。日線級別來看,ETH迎來二連陽。晚間持續關注上漲趨勢的延續情況以及上方2460的突破情況和下方2300的支撐情況。

合約方面,火幣合約大資料顯示,BTC合約持倉量相對穩定,合約成交量小幅下降,合約市場不活躍。交割合約基差小幅上升。

ETH合約持倉量相對穩定,合約成交量小幅下降,合約市場不活躍。交割合約基差小幅上升。

據火幣研習社資料監控顯示,今日DeFi總鎖倉量(TVL)小幅下降達到了752.3億美元,真實鎖倉量小幅下降達到了554.7億美元。其中,頭部專案變化幅度不大。今日Defi總交易量小幅下降,達到了40.0億美元。其中,PancakeSwap跌幅較大,達到了18.08%。


Cointelegraph中文作為區塊鏈新聞資訊平臺,所提供的資訊僅代表作者個人觀點,與Cointelegraph中文平臺立場無關,且不構成任何投資理財建議。請廣大讀者樹立正確的貨幣觀念和投資理念,切實提高風險意識。鑑於中國尚未出臺數字資產相關政策及法規,請中國大陸使用者謹慎進行數字貨幣投資。

來源:https://cointelegraphcn.com/news/security-problems-are-frequent-this-month

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读