NFT:Impossible Finance閃電貸攻擊事件跟蹤_區塊鏈

前言

6月20日，BSC鏈上的DeFi項目ImpossibleFinance突然遭遇閃電貸襲擊，本是漲勢喜人的IF代幣從此也一蹶不振，價值一路下滑。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

事件分析

第一階段：準備階段

百事可樂品牌樂事推出了ImpactNFT:金色財經報道，百事可樂品牌樂事推出了ImpactNFT ，ImpactNFT是樂事和百事可樂的首創NFT，將社交營銷與區塊鏈技術相結合，為區塊鏈愛好者、有意識的消費者和公眾提供社區和環境影響力。為了保證碳足跡可以忽略不計，方舟計劃將在Polygon網絡上鑄造樂事的 NFT，這是一種第 2 層協議，提供以以太坊安全為后盾的快速、經濟和節能的交易。樂事的第一個 ImpactNFT 可在樂事的 OpenSea官方頁面上獲得。（prnewswire）[2021/9/2 22:55:08]

圖1：黑客準備階段流程圖從黑客準備階段流程圖中我們可以看到黑客的最終目的是創建AAA代幣與IF代幣流動性。為此他的具體操作：第一步：獲取IF代幣（利用閃電貸從PancakeSwap中獲取WBNB代幣，并將其兌換成IF代幣)

動態 | Simplecoin受歐盟反洗錢指令影響將于2020年1月1日關閉:荷蘭加密貨幣挖掘平臺Simplecoin將于?2020年1月1日關閉。這是由于歐盟實施了一項新的反洗錢指令，該指令將迫使Simplecoin遵守新的KYC和反洗錢(AML)政策。（AMBCrypto）[2019/12/16]

第二步：創建可控代幣AAA(BBB)

Ian Simpson：數字貨幣和區塊鏈在2017年的發展存在缺憾:瑞士早期投資公司Lakeside Partners營銷主管Ian Simpson稱2017年對于數字貨幣和區塊鏈技術的發展來說是里程碑式的一年，但仍然存在缺憾。區塊鏈技術還沒有被企業大規模采用；很多外行人還把區塊鏈等同于比特幣或數字貨幣；監管措施和自律舉措還不成熟；鏈式可操作性沒有實現。[2018/1/7]

第三步：在Impossible中添加了AAA代幣與IF代幣流動性

第二階段：攻擊階段

圖2：黑客攻擊階段流程圖從黑客攻擊階段流程圖中我們可以看到黑客的最終目的是獲得BUSD代幣。他的具體操作：第一步：通過Router合約設置兌換路徑(AAA->IF->BUSD)第二步：在同一兌換過程中進行了兩次兌換操作

第三步：兌換可獲利的BUSD代幣，并兌換IF代幣為下次攻擊做準備

攻擊原理分析

為什么黑客要在同一兌換過程中進行兩次兌換操作？理論上每次兌換操作都將導致K值的變化，用戶一般無法獲得預期數量的代幣。既然黑客這樣操作并獲利，那么一定在合約某處出了問題。果然檢查源碼發現了問題：

cheapSwap函數并沒有檢查K值變化，直接更新價值變化。這就是黑客通過多次兌換操作獲得額外BUSD代幣的原因。總結

本次閃電貸安全事件主要是由于項目方在參考Uniswapv2協議進行創新時，沒能及時對創新內容進行安全驗證。雖然對cheapSwap函數做了限制，但是對其本質的安全性——價格變動卻忽視了，這是不應該的。近期，BSC鏈上頻頻爆發攻擊事件，合約安全愈發需要得到迫切重視。BSC官方目前也發推稱推測有黑客團隊盯上BSC，叮囑各項目方注意規范，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：IMP區塊鏈NFTSIMP$HRIMP幣換天下區塊鏈Fyooz NFTHomer Simpson

狗狗幣最新價格