8455新澳门路线网址-澳门新葡萄京开户注册

鸵鸟区块链

SharkTeam独家分析 | 闪电贷攻击:Twindex被黑事件分析

SharkTeam 2021-10-07 08:30
摘要:

BSC合成资产交易平台Twindex被黑事件分析

北京时间10月2日,BSC上合成资产交易平台Twindex遭受闪电贷攻击。SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希翼后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

图片1.png

一、事件分析

1.攻击者通过闪电贷从Twindex LP Token中闪电兑换1780k TWX以及798k KUSD.

图片2.png

2. 铸造KUSD以及TWX

图片3.png

图片4.png

3. 将TWX兑换成BUSD

图片5.png

4. 闪电贷还款

图片6.png

5. 将TWX兑换成DOPX,最后兑换为KUSD

图片7.png

图片8.png

6. 将KUSD兑换为DOPX以及USDC

图片9.png

7. 将获取的DOPX兑换为BUSD和USDC,并转账到攻击者账户

图片10.png

在整个攻击过程中,StablePoolOracle 合约虽然使用了 TWAP 来计算 KUSD 的价值,但是 CollateralReserve合约在计算 ECR 的时候,会放大闪电贷的影响,导致铸造TWX发生错误。

StablePoolOracle合约:0x3d379d3F021c36173c14a0a77923Ee6fa0cD0b0F

图片11.png 

CollateralReserve代理合约:0x40Ea52769FfaBa9a171d83f9f34972058314F223,

图片12.png 

图片13.png 

二、安全建议

此次事件是又一次与闪电贷有关的安全事件,DeFi项目的业务逻辑设计复杂,涉及的经济学计算和参数较多,却不同项目和协议之间可组合性极其丰富,很难预测,非常容易出现安全漏洞。如下表,利用闪电贷这种新型产品进行攻击的DeFi事件在过去的一年里层出不穷,已增加到42起。通常闪电贷攻击包括“哄抬套利”、“操纵预言机”、“重入攻击”和“技术漏洞”四种,本次属于基于利用“技术漏洞”进行的闪电贷攻击。

图片14.png 

SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。而作为项目方,智能合约安全关系用户的财产安全,至关重要!区块链项目方应与专业的安全审计企业合作,进行多轮审计,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。

SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容,全面保障智能合约安全。

图片15.png

==

和2万人一起加入鸵鸟社群

添加QQ群:645991580

添加TG群:鸵鸟中文社区 https://t.me/tuoniaox 

声明: 鸵鸟区块链所有发布内容均为原创或授权发布,如需转载,请务必注明文章编辑以及来源:鸵鸟区块链(微信公众号:MyTuoniao),任何不敬重原创的行为鸵鸟区块链都将进行责任追究!鸵鸟区块链报道和发布内容,不构成任何投资建议。

SharkTeam

——

65 篇 作品

8455新澳门路线网址|澳门新葡萄京开户注册

XML 地图 | Sitemap 地图