Impossible Finance閃電貸攻擊事件跟蹤_IMP:SIMPLE

前言

6月20日，BSC鏈上的DeFi項目ImpossibleFinance突然遭遇閃電貸襲擊，本是漲勢喜人的IF代幣從此也一蹶不振，價值一路下滑。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

事件分析

第一階段：準備階段

Simplex聯合創始人：比特幣或尚未受到美聯儲關注:Simplex聯合創始人兼首席執行官Nimrod Lehavi認為，比特幣可能尚未受到美聯儲的關注。他表示，在美聯儲開始考慮購買和持有比特幣之前，需要更多的公開交易公司購買加密貨幣；在比特幣交易量開始與美元大致相等之前，美聯儲不太可能將其視為威脅。（Decrypt）[2020/11/20 21:24:59]

圖1：黑客準備階段流程圖從黑客準備階段流程圖中我們可以看到黑客的最終目的是創建AAA代幣與IF代幣流動性。為此他的具體操作：第一步：獲取IF代幣（利用閃電貸從PancakeSwap中獲取WBNB代幣，并將其兌換成IF代幣)

Matrixport與Simplex建立合作 用戶可使用信用卡購買加密貨幣:新加坡數字資產金融服務提供商Matrixport宣布已與歐洲領先的合規支付公司Simplex達成合作，今后，用戶可以可以便捷、安全地使用維薩卡（Visa）或萬事達卡（Mastercard），在Matrixport平臺購買加密貨幣。

據了解，Simplex已提供超過20種法定貨幣的入金支持，其中包括美元、歐元、盧布、英鎊、日元、加元、澳元、韓元等。現在，來自世界各地的用戶可以使用Simplex購買加密貨幣，并享受Matrixport的主流投資產品帶來的高收益。（Cointelegraph）[2020/4/29]

動態 | Simplechain與原倉文化達成深度戰略合作:2019年12月13日由中宣部版權管理局指導, 廣東省版權局、廣州市版權局、廣州市文化廣電旅游局、 越秀區人民政府支持，國家版權貿易基地 (越秀) 承辦的中國·廣州國際版權授權大會在廣州隆重舉辦， 大會旨在引領文化IP品牌產業的創新發展，會上SimpleChain與原倉文化達成深度戰略合作，以區塊鏈技術賦能文化產業，IP授權鏈上變現，實現區塊鏈價值應用落地。[2019/12/13]

第二步：創建可控代幣AAA(BBB)

第三步：在Impossible中添加了AAA代幣與IF代幣流動性

第二階段：攻擊階段

圖2：黑客攻擊階段流程圖從黑客攻擊階段流程圖中我們可以看到黑客的最終目的是獲得BUSD代幣。他的具體操作：第一步：通過Router合約設置兌換路徑(AAA->IF->BUSD)第二步：在同一兌換過程中進行了兩次兌換操作

第三步：兌換可獲利的BUSD代幣，并兌換IF代幣為下次攻擊做準備

攻擊原理分析

為什么黑客要在同一兌換過程中進行兩次兌換操作？理論上每次兌換操作都將導致K值的變化，用戶一般無法獲得預期數量的代幣。既然黑客這樣操作并獲利，那么一定在合約某處出了問題。果然檢查源碼發現了問題：

cheapSwap函數并沒有檢查K值變化，直接更新價值變化。這就是黑客通過多次兌換操作獲得額外BUSD代幣的原因。總結

本次閃電貸安全事件主要是由于項目方在參考Uniswapv2協議進行創新時，沒能及時對創新內容進行安全驗證。雖然對cheapSwap函數做了限制，但是對其本質的安全性——價格變動卻忽視了，這是不應該的。近期，BSC鏈上頻頻爆發攻擊事件，合約安全愈發需要得到迫切重視。BSC官方目前也發推稱推測有黑客團隊盯上BSC，叮囑各項目方注意規范，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：IMPPLEIMPLSIMPLEimpt幣值得買嗎Ripple AlphaSimpli FinanceSIMPLE價格

UNI