前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Value DeFi遭黑客攻击始末,闪电贷这次又带走了700万美元

Value DeFi遭黑客攻击始末,闪电贷这次又带走了700万美元

作者头像
区块链大本营
发布2020-11-19 16:39:55
8610
发布2020-11-19 16:39:55
举报
文章被收录于专栏:区块链大本营

来源 | 巴比特资讯

责编 | 晋兆雨

头图 | 付费下载于视觉中国

注:北京时间11月15日凌晨,去中心化金融协议Value DeFi遭遇闪电贷攻击,攻击者通过复杂的方式从Value协议的金库中转移走了大约700万美元,随后归还了200万美元,并附上了一条带有嘲讽意味的信息:“你们真的懂闪电贷吗?”,而在攻击发生前一日,Value DeFi公开宣称自己是DeFi领域最安全的协议,并且能够抵抗闪电贷攻击。

*原文来自rekt,作者对这次攻击进行了分析。

他们真的理解闪电贷(flashloan)吗?

声誉的价值是不稳定的,谦虚能够带来稳定,而吹嘘太多,最终只会搞砸。

Value DeFi今天因为闪电贷攻击被黑了700万美元,这又是一次关于闪电贷的惨痛教训。

  1. 黑客攻击前的代币价格 - 2.73美元
  2. 黑客攻击后的代币价格 - 1.87美元

让人啼笑皆非的是,在黑客攻击前一天,项目方发布了这样一条推文:

(这条推文后来被删除了,但我们的截图还活着。)

尽管Value DeFi 团队大胆宣称自己的协议很安全,但他们似乎并不知道提款不仅可以通过主合约进行,还可以通过代理从金库合约中提取。

Value DeFi使用了Curve现货价格作为预言机。

而攻击的详细步骤如下:

操纵发生在第5步和第6步。

第七步的取款使用了错误的Curve函数进行数学运算;

功劳来自@emilianobonassi

功劳来自@FrankResearcher

15:24- 这次攻击选择了对Value DeFi团队非常不利的时间点,时间是在他们要开始一次AMA活动的20分钟前。

在15:41,一名用户提问为什么协议锁仓值(TVL)出现了下降,当天早些时候,Value DeFi锁仓值一度超过了1100万美元。

到了15:49,人们的担忧越来越大,而协议团队成员则告知大家这是一个UI漏洞。

然后在15:49,有人在聊天室放出了etherscan链接。

价值700万美元的Value DeFi金库资金被转移,之后攻击者归还了200万美元,并附上了下面这样一段话:

“你们真的理解闪电贷?”

在16:00,就在AMA即将开始的时候,Stani Kulechov发布了以下这条推文,告知了大家发生了什么。

同时,在AMA活动中;

Value团队在16:05的时候,在Discord聊天室承认了这次攻击,而AMA的问题持续了40分钟,讨论的都是无关主题,直到……

FARM、AKRO以及

这些攻击是想要教我们什么吗?

闪电贷在DeFi领域是一个有争议的话题,近几个月来,它们一直是很多攻击及漏洞的主要原因,但是可以说,闪电贷只是在加速我们的学习过程,并有助于消除薄弱的协议。

如果没有闪电贷,未来也可能会有“鲸鱼”能够这样做,我们最好就在去中心化金融(Defi)的起源阶段经历这个过程,因为准备冒险的人每天都在试验、尝试和发布新产品。

闪电贷是来教导那些冒进者的,告诉他们为何要谦卑,它们处在DeFi的顶点,这在其他任何地方都是不可能的,闪电贷是DeFi这项技术带来的新功能的完美例子。

这是DeFi的一个特性,而不是对代码的利用。

最强大的协议不会受这些攻击的影响,有些甚至能够从中受益。

可以说,闪电贷强行提高了DeFi开发者的门槛。

在新标准得到满足之前,人们和协议会遭到攻击,这将是痛苦的,而它也将是公开的,但正因为如此,我们需要学习。DeFi将变得更强,我们将为未来的用户开发更好的实践、更强的代码以及更安全的环境。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-11-16,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 区块链大本营 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档