比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > PEPE幣 > Info

MKR:閃電貸:DeFi項目新玩法,如何攻擊MakerDao獲取7億美金

Author:

Time:1900/1/1 0:00:00

編者按:本文來自頭等倉區塊鏈研究院,作者:DominikHarz,編譯:頭等倉-Mark,Odaily星球日報經授權轉載。如果不引入新治理合約的延遲,您有可能竊取Maker的所有抵押品并使用閃電貸發行任意數量的Dai。任何人都可以執行攻擊,只需要支付交易費用,而無需持有任何MKR。如果Maker在閃電貸池的流動性池超過閾值之前不引入延遲,則幾乎沒有機會阻止攻擊。Maker知道了攻擊方式,并在2月21日舉行投票,以防止攻擊。介紹

Maker及其Dai穩定幣是以太坊上最受歡迎的去中心化金融項目,智能合約鎖定了約7億美元。Maker協議依賴于智能合約中編碼的治理流程。MKR代幣持有人可以投票替換現有的治理合約,投票與MKR的持有量成正比。MKR代幣的總數約為987530,其中選定的錢包或合約持有大量代幣:Maker基金會:117993MKRa16z:60000MKR0xfc7e22c6afa3ebb723bdde26d6ab3783aab9726b:51291MKR0x000be27f560fef0253cac4da8411611184356549:39645MKR注意:Maker治理合約包含多方的MKR令牌。治理攻擊

Jindo Inu(JIND)遭閃電貸攻擊,攻擊者疑似利用代幣銷毀機制漏洞:金色財經報道,據CertiK監測,Jindo Inu (JIND) 遭到閃電貸攻擊。攻擊者疑似利用了代幣銷毀機制中存在的漏洞。[2023/6/10 21:28:44]

2019年12月,MicahZoltu指出了如何攻擊治理合約。基本思想是積累足夠的MKR代幣,用攻擊者惡意的治理合約替換現有的治理合約。這樣,惡意治理合約便能夠使攻擊者完全控制系統,并撤回系統以及Dai中的任何抵押品。為了減少所需的MKR代幣數量,他建議在對新的治理合約進行投票時執行攻擊。目前,在治理合約中已鎖定192,910個MKR代幣。但是,如果將兩個或三個合約與類似的代幣分發并行地進行投票,則攻擊者將需要較少的代幣。如下圖所示,這種情況過去經常發生:

安全團隊:Journey of awakening項目遭受閃電貸攻擊,攻擊者獲取大量ATK代幣:金色財經報道,據Beosin EagleEye Web3安全預警與監控平臺監測顯示,Journey of awakening(ATK)項目遭受閃電貸攻擊。攻擊者通過閃電貸攻擊的方式攻擊了ATK項目的策略合約(0x96bF2E6CC029363B57Ffa5984b943f825D333614),從合約中獲取了大量的ATK代幣。

Beosin安全團隊分析發現攻擊者已把全部獲得的ATK代幣兌換為約12萬美元的BSC-USD,目前被盜資金已經在0xf2ade5950cdfb43b47fdb0a7bf87e9c84467981f地址被兌換成BNB并且全部轉移到龍卷風地址,Beosin安全團隊將使用Beosin Trace對被盜資金進行持續追蹤。[2022/10/12 10:32:20]

明顯的攻擊策略是通過智能合約對所需的MKR代幣進行眾籌,并向每位攻擊者支付一定份額的獎金。但是,攻擊者可能需要積累大約5萬個MKR代幣,才能有機會在沒有Maker注意到這些動作的情況下攻擊系統。新攻擊策略:閃電貸

Cream閃電貸攻擊報告:關鍵漏洞在于可包裝代幣的價格計算,損失1.3億美元:11月1日消息,抵押借貸平臺 Cream Finance 針對 10 月 27 日閃電貸攻擊發布詳細報告,表示正在與當局合作追蹤攻擊者,此次攻擊損失約 1.3 億美元,將在未來幾天公布詳細的還款計劃。Cream 表示,此次攻擊混合了經濟攻擊和預言機攻擊,攻擊者從 MakerDAO 閃電貸出 DAI 來創建大量 yUSD 代幣,同時通過操縱多資產流動性池,利用價格預言機計算 yUSD 價格,yUSD 價格升高后,攻擊者的 yUSD 頭寸增加,創造了足夠的借入限額來抵消 Cream 以太坊 v1 市場的流動性。Cream 稱已暫停 Cream Finance 中以太坊 v1 市場的所有交互,關鍵漏洞在于可包裝代幣的價格計算,已經停止了所有可包裝代幣的供應 / 借貸,包括所有 PancakeSwap LP 代幣。[2021/11/1 6:24:39]

但是,如果我們考慮使用閃電貸,則可以完全取消大量MKR代幣的要求。閃電貸是一個相當新的概念,因此在此進行簡要說明。通常,借貸人必須提供抵押品以在DeFi項目中獲得貸款。例如,在Maker中,A可以通過存入ETH借用Dai。這是必需的,這是在弱身份和經濟上合理的代理人的模型下運作的。閃電貸取消了這個要求,因為它僅在單個交易中發生:1.A從閃電貸流動性提供者中提取貸款。2.A執行一些動作。A償還了利息的閃電貸。

array finance官方:閃電貸造成超50萬美元損失,或為一名內部人員所為:官方消息,DeFi項目array finance證實遭到閃電貸攻擊,官方表示,攻擊者獲利約272.94 ETH,價值約51.5萬美元。array希望找到一家公司或組織,為失去的流動性提供擔保,并在啟動后償還。

此外,array表示,將Gismar從團隊中除名,因為團隊認為他的疏忽和粗心導致流動性被偷,或者他自己偷了錢。目前正在積極嘗試聯系和聯絡Gismar,但他的所有社交媒體已經關閉和清空。array下一步將用剩余的資金雇傭一個可靠的開發人員;解決手頭的問題,這樣就可以繼續目前的工作;試著找個人為70萬美元做抵押;采取法律行動。最后,array將很快有一個投票系統設置為CCO Contributors決定是否繼續進行該項目。[2021/7/19 1:03:06]

MakerDAO社區正采取措施防止利用閃電貸操縱投票:MakerDAO社區正緊急采取措施,以防止通過閃電貸操縱投票的事件再次發生。提案通過和執行之間的12小時延遲將被延長至72小時,以允許公眾質疑惡意投票。此外,社區正在禁用斷路器,這將使治理能夠關閉預言和清算程序,因為惡意行為者可能會濫用這些預言和清算程序來利用該系統牟利。此前消息,MakerDAO就DeFi協議團隊B Protocol利用閃電貸操縱治理投票一事發出警告。(Cointelegraph)[2020/10/30]

閃電貸之所以有效,是因為以太坊虛擬機的設計方式:如果在該交易期間的任何時候,閃電貸失敗,那么整個交易將被還原。因此,A可以無償承擔貸款風險,如果無法償還貸款,那就像從未承擔過一樣。流動性提供者也獲得了勝利:他們只有在A能夠償還貸款的情況下才借出資金。利用閃電貸和Oracle進行操縱套利

2月14日和2月18日,發生了兩起涉及閃電貸的事件,導致bZx停止了平臺。在第一筆交易中,單筆閃電貸就能賺取1193ETH的利潤。該交易使用智能合約執行,該合約在wBTC上開設了Fulcrum的空頭頭寸。在同一筆交易中,該筆交易從Compound借出了wBTC貸款,并在Kyber的Uniswap儲備金上進行了wBTC的交易,導致滑點最終也降低了Fulcrum的價格,可以在bZx的事后評估中找到完整的詳細信息。同樣,第二起事件發生在2月18日,在一次交易中獲利2378ETH。該交易涉及初始借入7500ETH以在Synthetix?的sUSD上買入多頭頭寸。Oracle操縱以減少所需的流動性

對于攻擊,假設50kMKR就足夠了。即使在實踐中,代幣的數量可能會更多,閃電貸款的概念如何使Maker的安全難以保證,而不會造成治理延遲。以一種幼稚的方法,攻擊者可以借一筆小額貸款購買5萬個MKR代幣。以目前的匯率,攻擊者需要大約485000ETH來購買該數量的MKR,只有一個交易所Kyber有足夠的可用容量。但是,攻擊者還可以利用多個交易所從Kyber購買38kMKR,從Uniswap購買11.5kMK,從Switcheo購買500MKR,總計378940ETH。這個數字仍然很高,但已經減少了近100,000ETH!攻擊者可以使用上面的Oracle操作策略來有效降低Kyber和Uniswap上的MKR價格。這是MKR的兩個最大的提供者,并且顯示出容易受到oracle價格操縱的影響,需要進一步分析以確定MKR價格可以降低多少。但是,在像wBTC這樣的流動性較低的代幣上,攻擊者能夠將價格波動操縱大約285%。獲得足夠的流動性

即使使用oracle操作,也需要大量ETH來執行對Maker的攻擊。攻擊者可以通過在同一筆交易中提取兩筆閃電貸款來增加其流動性。Aave和dYdX保護自己免受重新進入的侵害,并且在單筆交易中僅允許一筆閃電貸款,但是攻擊者可以在同一筆交易中從這兩種協議借用ETH。組合方案

顯然,可以將眾籌和閃電貸結合起來。使用約107kETH的可用流動性,有可能從Kyber獲得約10800MKR。這樣一來,多個攻擊者就可以將合計50kMKR的所需數量減少到大約39.2kMKR。正如非正式的Twitter調查顯示,似乎有些人確實對這種攻擊感興趣:

還應注意,排名前四的帳戶持有人能夠在無需眾籌的情況下執行攻擊。最好的攻擊時機

一旦可以通過閃電貸池獲得足夠的流動性,任何人都可以接管Maker治理合約。當流動性池達到該閾值時,一旦Maker開始投票,Maker就需要確保MKR代幣分配得盡可能少。如果在此投票過程中的任何時候分發MKR都可以利用此漏洞,則可以剝奪任何抵押品。攻擊者將能夠竊取價值7億美元的ETH抵押品,并能夠隨意創造新的Dai。由于Dai被用作其他協議的支持抵押品,因此這種攻擊將遍及整個DeFi項目。此外,攻擊者還可以利用他的Dai交易價值約2.3億美元的其他貨幣。對策

Maker應修訂新的治理合約,防止閃電貸攻擊它的系統。具體來說,Maker基金會應該能夠檢查新的治理合約中是否存在惡意代碼,并給予足夠的時間做出反應。最低限度,新的治理合約不應在單個交易中生效。這樣,攻擊者可能無法從攻擊中獲利,從而無法償還閃電貸。如果攻擊者無法償還閃電貸,那么攻擊就永遠不會發生。Maker將在2020年2月21日將此類合約進行表決。擬議的合約將激活治理安全模塊,并防止此類閃電貸攻擊。

Tags:MKRMAKEMakerETHmkr幣怎么挖Maker BasicMakerDAOPETH18C

PEPE幣
比特幣:2019年精選十大數據發現

圖文|CarolTina編輯|畢彤彤Tong來源|PANews 比特幣購買力已接近2017年牛市以來最高水平:金色財經報道,全球比特幣購買力指數(PPI)已上漲0.2%至6341.26.

1900/1/1 0:00:00
比特幣:疫情危機下的比特幣,對減半行情是否會有影響?

經歷了前幾年的起起伏伏,區塊鏈好像進入到了一個平穩發展的階段,在過去的一年里,我們看到了傳統公司強勢入場,看到了國家對行業進行系統的鼓勵與監管,看到了諸多明星項目的開發.

1900/1/1 0:00:00
CON:Conflux的公鏈生態路線圖

2月18號20:00,BlockManiaAMA直播第50期繼續進行,BlockMania致力于將區塊鏈行業最深度的認知和思考帶給行業與公眾,歡迎其他社區跟我們合作.

1900/1/1 0:00:00
區塊鏈:區塊鏈捐贈系統沒啥用,因為沒考慮到這些問題

文/趙雪嬌編輯/獨秀武漢紅十字會在物資調配慢,引起社會公眾的質疑。結合區塊鏈技術的特點,可以實現交叉驗證,提高了偽造信息的難度,增強了鏈上信息的可信度;區塊鏈最大的優勢在于驗證成本極低.

1900/1/1 0:00:00
COI:FCoin“暴雷”投資人該怎么辦?律師這樣建議

文|小湃出品|PANews一份真相公告,宣布FCoin下課。FCoin創始人張健說,“通往地獄的路由善意鋪成”.

1900/1/1 0:00:00
比特幣:美聯儲緊急降息引市場劇震,比特幣更加值得期待

編者按:本文來自中本小蔥,Odaily星球日報經授權發布。北京時間昨日(3月3日)晚23:00,美聯儲突然宣布下調基準利率50基點,將超額準備金率下調50個基點至1.1%.

1900/1/1 0:00:00
ads