当前位置:首页 > 最新公告 > 正文

SharkTeam独家分析丨BurgerSwap闪电贷二次攻击事件分析

简介北京时间2021年6月5日,币安智能链(BSC)上AMM项目BurgerSwap在5月28日受到闪电贷攻击一周后,再次遭遇闪电...

北京时间2021年6月5日,币安智能链(BSC)上AMM项目BurgerSwap在5月28日受到闪电贷攻击一周后,再次遭遇闪电贷攻击,导致DEK断崖式下跌。

SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

一、事件分析

(1)攻击者通过Bank合约的闪电贷借了3000 WBNB

将其中的2192.7 WBNB兑换成148915 DEK。其中,0.3%会兑换为BURGER抵押到矿池,并且参与到平台治理。

(2) 攻击者通过PancakeSwap将13 WBNB兑换成756 BURGER

(3)利用假币1在BurgerSwap上创建代币对,同时添加了100000假币1和上面兑换的756 BURGER的流动性。

(4)通过流动性池将100000假币1兑换成852.65WBNB

(5)3次分别将27251.43 DEK兑换成WBNB,

第一次兑换,比例大约为17.5 : 1;

第二次兑换,比例大约为50928 : 1;

第三次兑换,兑换比例为106036。

(6)将14 WBNB通过PancakeSwap兑换成652 BURGER;利用假币2在BurgerSwap上创建代币对,同时添加了100000假币和652 BURGER的流动性。

(7) 将652 BURGER兑换成513229 BUSDT

(8)将100000假币2兑换成277839 BUSDT

(8) 将22668 DEK兑换为70.33 BUSDT

(9)将 1185262 BUSDT通过PancakeSwap兑换为3041.56 WBNB,还清闪电贷。最后将121235.86 DEK转出

通过以上攻击过程的分析,发现攻击者利用了合约中的重入漏洞,多次重复进行swap操作。

通过重入和假币来控制价格,最终实现攻击套利的目的。

二、安全建议

此次事件是又一次与闪电贷攻击有关的区块链安全事件,DeFi项目的业务逻辑设计复杂,涉及的经济学计算和参数较多,却不同项目和协议之间可组合性极其丰富,很难预测,非常容易出现安全漏洞。如下表,利用闪电贷这种新型产品进行攻击的DeFi事件在过去的一年里层出不穷,已增加到23起。通常闪电贷攻击包括“哄抬套利”、“操纵预言机”、“重入攻击”和“技术漏洞”四种。本次属于基于“重入攻击”的黑客攻击。

智能合约安全关系用户的财产安全,至关重要!区块链项目开发者应与专业的安全审计公司合作,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面111项审计内容,全面保障智能合约安全。

SharkTeam为客户提供高级别的区块链安全服务,区块链安全专家团队7*24小时为智能合约提供全生命周期的安全保障,服务包括:VIP安全审计服务、VIP合规审计服务、安全事故应急响应等。

SharkTeam也提供自动化审计工具,自动化审计以云服务的方式为用户提供服务。运用符号执行、形式化验证等智能合约分析技术,满足开发者智能合约日常审计需求。

发表评论

最新文章