邏輯漏洞連環擊 攻擊者盯上了 Eleven Finance 這塊羊毛地_BUSD:Bernard finance

北京時間6月23日，PeckShield「派盾」預警顯示，BSC鏈上收益聚合器ElevenFinance中與Nerve相關的機槍池遭到閃電貸攻擊。

PeckShield「派盾」通過追蹤和分析發現，此次攻擊源于ElevenFinance的Emergencyburn()計算余額錯誤，且未執行銷毀機制，攻擊者獲利近460萬美元。?

有趣的是，幾個小時后，昨天剛從ImpossibleFinance薅得近50萬美元的攻擊者，利用ElevenFinance的漏洞，通過閃電貸攻擊獲利近52萬美元。

獨家 | 大山： 挖礦是能真正穿越牛熊的一種商業邏輯:在今晚由算力互聯主辦，金色財經獨家支持直播的2020礦業新勢力AMA上，針對“水滴資本在實際運作礦業基金以及進行礦業生態布局，這個過程中，有哪些心得體會或者感悟？”的問題，水滴資本聯合創始人大山表示幾個合伙人都是13年以前就接觸BTC的，也見證了幾輪牛熊了，但不知道大家發現了沒有，很多圈子里曾經風光無限的人物都曇花一現消失匿跡了，而過了這些年下來留到現在的，大家調侃為大佬的人，或者行業頭部的大公司，除了少數幾家交易所外，大多跟礦業有關。這是因為挖礦是能真正穿越牛熊的一種商業邏輯。[2020/2/26]

第一個攻擊者創建了4個合約，進行了5次攻擊。

金色相對論| 覃文延：區塊鏈通過重構產業價值網絡進而重構產業邏輯:在本期金色相對論中，北美區塊鏈基金會主席、核聚鏈創始人覃文延表示：區塊鏈這次和以往的大的技術浪潮不一樣，區塊鏈的應用不單單是技術，它對產業的影響非常深遠，已經不再停留再一個概念的層面，而是通過給產業重構價值網絡進而從根本上重構產業邏輯。區塊鏈與人工智能，物聯網，大數據還有傳統高科技的結合所產生的創新點是無窮的。各行各業都不可避免。區塊鏈技術的突破點其實很多，去中心化的價值引擎，交易引擎，風控引擎，底層區塊鏈通訊協議等等都是技術突破口。比如區塊鏈和人工智能的結合，區塊鏈的技術有一個很重要的特征就是分布式容錯系統，避免單點災難的出現，所謂的拜占庭將軍算法問題，應用在人工智能領域就能把現在的單節點人工智能瞬間提升到一個多節點分布式人工智能的領域，大大擴展了傳統AI的應用，一個世界冠軍和機器的 AlphaGO（也可能是一個機器集群，但還是一個單一獨立邏輯）下棋可能機器會贏，但是如果一個世界冠軍個一千臺獨立思考的機器下棋，情況就不一定了，因為一千臺獨立的AlphaGO要達成統一不容易。[2018/9/7]

PeckShield以合約0x8b29為例簡述攻擊過程：

聲音 | 田穎：OK資本現階段三大投資邏輯與理念:近日， OK資本創始合伙人田穎在接受采訪表示， OK投資區塊鏈創業項目現階段的一條標準是只投看得懂的項目；其次，盈利并不作為首要的目的，投資是為了更好的學習市場規則。第三，我們是圍繞著技術生產力去投，只有底層基礎設施健康了，行業產生大規模的落地應用才能誕生。[2018/8/13]

首先，攻擊者從PancakeSwap中借出953,869.6BUSD，并將其中340,631.2BUSD兌換474,387.75NRV；

隨后，攻擊者將474,378.75Nerve和366,962BUSD在PancakeSwap中添加流動性，獲得411,515.3LPtoken；

攻擊者將411,515.3LPtoken放入ElevenFinance中與Nerve相關的機槍池獲得411,515.311nrvbusdLPtoken；

當攻擊者提取PancakeLPtoken時，ElevenNeverSellVault中的Emergencyburn()函數本應銷毀11nrvbusdLPtoken換回PancakeLPtoken，但Emergencyburn()并未執行burn這個動作，使得攻擊者利用此邏輯錯誤獲利。

該攻擊者又創建了0x01ea合約，借出30.9BTCB；0xc0ef合約借出285.66ETH以及0x87E9借出兩筆閃電貸2,411,889.87BUSD和7,693BUSD進行攻擊。

攻擊者通過利用集成的第三方合約功能進行攻擊，這類問題較難檢測到，例如，此前PeckShield「派盾」幫助RariCapital避免更大損失案例一樣，在定位漏洞根源時，由于合約交互容易干擾安全人員的判斷，PeckShield「派盾」建議，開發人員應謹慎與任意第三方協議進行交互。

DeFi協議開發人員在集成第三方協議并將其部署到生產運行之前，應充分了解合約及其分支項目的運行情況。DeFi協議開發人員應在項目上線前，先將其部署在測試網上進行測試并及時檢查交易記錄中的異常情況。

“太快了，攻擊者從合約部署，到完成攻擊，甚至到再次發起攻擊，這一系列操作有時候快得讓人有些反應不過來。”PeckShield「派盾」安全人員表示，“因此，事前審計，事中響應，事后提出及時有效的安全方案都是缺一不可的，誰都不知道攻擊者會不會在下一秒發起攻擊。”

Tags：區塊鏈ANCUSDBUSD區塊鏈域名如何注冊Bernard financeusd幣價格CZBUSD

波場