PALM:又一例閃電貸攻擊 Palmswap安全事件分析_ALM

在 2023 年 7 月 24 日，Palmswap 遭受了一次閃電貸攻擊，導致失去了 901,455 USDT（約等于 901,000 美元）。由于項目的 PlpManager 合約存在漏洞，導致 USDP 計算錯誤，從而導致了此次攻擊。

在 2023 年 7 月 24 日，Palmswap 遭受了一次閃電貸攻擊，導致損失約 901,000 美元。攻擊最初是在區塊 30248637 上由外部擁有的地址（EOA）0x5cf40 嘗試發起的，但由于攻擊者耗盡了 gas 費用而失敗。

圖片：失敗的交易。來源：Bscscan原始攻擊者從以太坊網絡的 Tornado Cash 中提取了 1 個 ETH。然后，將 1 個 ETH 兌換成 USDT 并通過跨鏈橋轉移到幣安智能鏈（BSC）。隨后，將 USDT 兌換成 BNB 并用于創建攻擊合約。然而，不幸的是，攻擊者沒有足夠的 BNB 來覆蓋這次攻擊。

安全公司：PlusToken又一涉案地址開始轉賬:北京鏈安Chainsmap監測系統發現，15pyB7開頭的PlusToken涉案地址于北京時間3月5日上午9:27分開始轉賬，其中7023BTC打入到一個新的地址，這也是該地址自從去年9月20日之后首次轉賬。[2020/3/5]

這讓 EOA 0xf84ef 能夠發現失敗的交易，理解并復制了區塊 30248638 的交易從而支付了正確數量的 gas 費用。

圖片：成功交易。來源：Bscscan由此可見，原始攻擊未能成功完成，是因為攻擊者沒有額外的 0.4 BNB 來支付交易費用。

一旦 EOA 0xf84ef 成功利用漏洞，被盜資金就會被轉移到了 EOA 0x0Fe74，目前仍在該地址中。

動態 | 又一推特粉絲過萬分析師的加密視頻被YouTube刪除:擁有1.35萬粉絲的加密貨幣分析師The Moon今日發推稱，自己也已經受到“YouTube刪除加密視頻”風波的影響。其于2019年1月27日發布的一段視頻現已顯示“違規”，因為它被定性為“有害和危險的內容”。他表示：“可不嘛，比特幣對銀行來說就是有害和危險的，但刪視頻這事可真是夠荒謬的。”目前該事件已愈演愈烈，多位業內大V都對YouTube此舉表達了不滿。[2019/12/25]

圖像：被盜資金轉移。來源：BscscanThe Palmswap 團隊已經聯系持有被盜資金的錢包，并試圖協商賞金。然而，BSC scan 似乎錯誤地標記了一個錯誤的錢包作為 Palmswap 的攻擊者：

動態 | PeckShield 安全播報: “假EOS”攻擊再出現 又一EOS競猜類游戲遭黑客攻擊:據 PeckShield 態勢感知平臺11月21日數據顯示：今天15:43 - 18:31之間，黑客（kuybupeykieh）向EOS競猜游戲合約（vegasgame111）發起攻擊，共計獲利數百個EOS，追蹤鏈上數據發現，為了防止資金流向被追蹤，該黑客采用多達幾十次的創建子賬號操作來順序轉移所獲資產。PeckShield 安全人員分析發現，該黑客利用的是“假EOS”漏洞實施攻擊，這一漏洞在10月份較為普遍，不過隨著多數開發者合約開發趨于規范，類似攻擊事件已經很少。一些較小規模的游戲還可能還存在類似漏洞，PeckShield在此提醒廣大游戲開發者和游戲玩家，警惕安全風險。[2018/11/21]

又一家銀行禁止使用銀行卡購買比特幣:加拿大豐業銀行（Scotiabank）在發給客戶的郵件中表示，客戶將不能使用信用卡和借記卡購買加密貨幣。電子郵件稱，該銀行采取了這種激進立場是由于“風險和監管因素持續演變”。這個決定似乎只影響了由豐業銀行發行的Visa卡，并不影響常規活期賬戶。[2018/3/8]

圖片：鏈上消息提供賞金。來源：BscscanPalmswap 的官方 X 賬戶證實了其與黑客的談判已經開始。

圖片：Palmswap X 官方公告（來源：@Palmswaporg）攻擊過程漏洞利用交易：0x62dba55054fa628845fecded658ff5b1ec1c5823f1a5e0118601aa455a30eac9

泰國又一交易所即將加入數字貨幣這場“戰役”中:據了解，泰國數字資產交易所大公牛網將于12月16日公測上線，該平臺共有英文、中文、泰文三個版本。雖然最近東南亞針對虛擬貨幣的監管政策信號頻出，但是其中泰國對ICO及虛擬貨幣抱有友好態度，并將監管權交給交易平臺。此次大公牛網宣布該平臺完全屬于合法平臺，也就意味著該交易平臺對其上線的項目擔負監管的使命。[2017/12/13]

攻擊者：0xf84efa8a9f7e68855cf17eaac9c2f97a9d131366

受漏洞影響的合約：0xa68f4b2c69c7f991c3237ba9b678d75368ccff8f

1.攻擊者使用閃電貸借取了 3,000,000 USDT（價值 3,000,691.52 美元）。

2.通過函數 buyUSDP()，攻擊者將 1,000,000 USDT 與 Vault 交換，獲得了 996,769 Palm USD (USDP) 和 996,324 PALM LP (PLP)。隨后，攻擊者在質押 PLP 后獲得了 996,324 fee PALM LP (fPLP)。

3.攻擊者將剩余的 2,000,000 USDT 與 Vault 交換，得到 1,993,538 USDP，然后觸發了 removeLiquidity() 函數，該函數將前一步中得到的 fPLP 與 Vault 交換，得到 1,962,472 PLP，然后進一步交換為 1,956,585 USDT（價值 1,957,036.45 美元）。由于 PlpManager 合約中 USDP 計算錯誤，Vault 錯誤地將更多的 USDT 返還給了攻擊者。

圖片：plpmanager.sol 源代碼來源：BscScan4.在第 3 步中，1,953,430 USDP 被交換成了 1,947,570 USDT（價值 $1,948,019.41）。

5.攻擊者還清了通過閃電貸借入的最初 3,000,000 USDT，之后攻擊者的錢包中還剩下 $901,445。

在 2023 年，已經發生了 128 起閃電貸攻擊，相比之下，我們在 2022 年只記錄了 101 起。隨著攻擊者尋求從智能合約漏洞中獲取最大利潤，閃電貸攻擊在黑客中變得越來越受歡迎。

在此次事件發生時，閃電貸攻擊已經導致 2.55 億美元的損失，平均每起攻擊導致約為 200 萬美元的損失。在 7 月的前三周，我們已經記錄了 22 起閃電貸攻擊，造成共計 850 萬美元的損失。2023 年每個月的平均閃電貸攻擊次數為 18 次。目前，7 月的閃電貸事件數量正朝著創紀錄的方向發展。目前，它與 2023 年 2 月持平，該月份也有 22 起攻擊事件。

圖表：2023 年閃電貸攻擊導致的資金損失。數據來源：CertiK

圖表：2023 年各月份的閃電貸攻擊次數。數據來源：CertiK結論Palmswap 的閃電貸攻擊是 CertiK 在 7 月份檢測到的第二大惡意閃電貸攻擊，該月份總共損失了 580 萬美元。該攻擊在 2023 年的惡意閃電貸攻擊中排名第十。盡管 2023 年的閃電貸攻擊數量沒有減少，今年已經發生了 127 起，而 2022 年僅有 101 起，但當前損失的資金體量顯著降低。這其中可能有幾個原因。首先，2022 年上半年的市場條件導致被盜的資產在美元價值上更高。其次，由于閃電貸是一個相對較新的概念，用于防御這種攻擊的安全策略仍在開發中，這意味著持有大量資金的項目成為攻擊目標。2023 年的閃電貸攻擊數量證明了項目方需要強大的安全措施和第三方審計。

CertiK中文社區

企業專欄

閱讀更多

Foresight News

金色財經 Jason.

白話區塊鏈

金色早8點

LD Capital

-R3PO

MarsBit

深潮TechFlow

Tags：USDALMPALPALMUSDC價格PalmswapPALG幣PALM價格

USDT