?Warp Finance發生閃電貸攻擊了？黑客還沒撈著錢_ANC:AmericanHorror.Finance

今日上午6時34分，流動性LP代幣抵押借DeFi借貸協議WarpFinance遭遇閃電貸攻擊，被盜約780萬美元。區塊鏈安全公司PeckShield安全人員表示：“此次攻擊導致WarpFinance損失約780萬美元，但攻擊者的手法并不完美，逾9.4萬LPtokens仍鎖在抵押金庫中。”

游戲發行商BRAVO READY宣布獲得Aptos的戰略投資:金色財經報道，游戲發行商BRAVO READY宣布獲得Aptos Labs的戰略投資，該投資將用于推出“Aptos Arena”。這是兩家工作室之間的獨家游戲合作，以及未來Aptos與《BR1: INFINITE》的整合。

Aptos Labs 的聯合創始人兼首席執行官 Mo Shaikh 表示，2023年是Web3游戲在全球范圍內獲得采用的一年，BRAVO READY的團隊已經在推動實現這一目標。[2023/3/17 13:10:56]

PeckShield通過追蹤和分析發現，攻擊者從dYdX和UniswapV2借出4筆閃電貸，共計290萬DAI和34.48萬WETH。隨后，攻擊者在UniswapV2中抵押290萬DAI和4519WETH來提供流動性，鑄造9.4349萬LPtokens，所鑄造的tokens轉換為WarpVaultLP，作為攻擊者的質押憑證。值得注意的是，此時LPtokens的價格為58.8USDC；接下來，攻擊者在UniswapV2中將34.1萬WETH兌換為4760萬DAI，進而抬高DAI的價格，使得LPtokens的價格翻了一番，達到135.5USDC；通過抬高LPtokens的價格和重置喂價預言機憑證的價格，有利于攻擊者進一步在WarpFinance中借出386萬DAI和390萬USDC；最后，攻擊者只要還上在dYdX和UniswapV2中的閃電貸即可將這780萬美元納入囊中。不過，據PeckShield分析，被盜收益目前還被鎖在抵押金庫中。閃電貸攻擊頻發，為何黑客還能得手？

IdleFinance：相關策略受Euler事件影響，涉及約1100萬美元穩定幣及630枚ETH:金色財經報道，DeFi協議Idle Finance發推稱，經過調查，Euler Finance事件對協議Yield Tranches策略的敞口涉及約535萬美元穩定幣及320枚ETH，Best Yield策略的敞口涉及480萬美元穩定幣和313枚ETH。

此外Idle Finance強調實際影響將取決于Euler團隊采取的行動和可能采取的緩解措施，以上數字并非實際回撤，而是鎖定在Euler的實際數字。Idle Finance還表示Senior/Junior Best Yield DAI金庫上周由于USDC脫錨，已將所有資金轉移到Aave，因此該金庫（總TVL為1120萬美元）未受Euler事件影響，并且現在正在按預期運行并從Aave獲得收益。[2023/3/14 13:02:42]

據PeckShield統計，今年發生近10起利用閃電貸的DeFi安全事件，包括bZx、Balaner、Havest、Akropolis、CheeseBank、ValueDeFi和OriginProtocol等。

Cosmos聯創：BNB Chain黑客通過RangeProof偽造Merkle證明實現攻擊:10月9日消息，Cosmos聯合創始人Ethan Buchman對BSC跨鏈橋攻擊事件發表看法表示，此次事件問題的關鍵在于黑客能夠偽造Merkle證明。這本不應該，因為Merkle證明應該提供高完整性。區塊鏈輕客戶端（和IBC）建立在Merkle證明之上，許多區塊鏈將數據存儲在Merkle樹中，這樣就可以生成證明，證明某些數據包含在樹中。

Cosmos鏈使用一種稱為IAVL的Merkle樹，IAVL存儲庫公開了一個使用范圍證明“RangeProof”的API，但事實證明RangeProof的內部工作存在嚴重錯誤。IAVL RangeProof的代碼問題在于其允許填充InnerNode中的Left和Right字段，攻擊者基本上利用了將信息粘貼到Right字段中的優勢，這些信息從未得到驗證，也從未影響哈希計算，以使驗證者相信某些葉節點是樹的一部分。因此，他們成功地偽造了Merkle證明。[2022/10/9 12:50:21]

閃電貸攻擊一般指結合閃電貸和其他漏洞，進行套利和操縱價格等的攻擊。事實上，閃電貸本身并不是漏洞，不過作惡者可以利用它，以極低的成本套取巨額資金，在多個協議間進行價格操縱或套利。PeckShield相關負責人解釋道：“區塊鏈上的閃電貸是一種不需要抵押就可以借貸的貸款方式，但貸方必須在同一區塊內還貸，否則這個交易就會失敗。所以閃電貸對借款平臺來說基本是零成本、零風險。而黑客就可以利用這樣的貸款方式，以很小的成本借出大筆資金，然后用這筆資金去造成一些數字資產的價格波動，再從中漁利。”由于閃電貸攻擊頻發，這個功能備受詬病，被認為是黑客的提款機；但也有觀點認為它讓協議的漏洞更早暴露出來，有利于提升協議的安全。PeckShield相關負責人建議：“根據閃電貸的特性，借貸和取款都要在一個區塊內完成，所以對DeFi協議開發方來說，更穩妥的設計是不允許在同一個區塊內存款和取款，這樣試圖利用閃電貸的黑客便無計可施。”作為新興的借貸模式，閃電貸在創新上極具魅力，但它不應成為黑客的鐮刀。DeFi協議開發者應在攻擊發生后，應自查代碼。PeckShield提示，如果對此不了解，應找專業的審計機構進行審計和研究，防患于未然。

Tags：ELDFINANCNCEshield-xshAmericanHorror.FinanceFANCBoosted Finance

比特幣價格今日行情