สินเชื่อแฟลชโจมตี Warp Finance หรือไม่? แฮ็กเกอร์ยังไม่ได้ทำเงินเลย

特邀专栏作者

2020-12-18 05:54

บทความนี้มีประมาณ 1232 คำ การอ่านทั้งหมดใช้เวลาประมาณ 2 นาที

การโจมตีสินเชื่อแฟลชอีกครั้ง?

เมื่อเวลา 6:34 น. ของวันนี้ Warp Finance ซึ่งเป็นข้อตกลงการให้ยืม DeFi โทเค็นเหลวที่สนับสนุนด้วยโทเค็น LP พบการโจมตีด้วยเงินกู้แบบแฟลช และถูกขโมยไปประมาณ 7.8 ล้านดอลลาร์

“การโจมตีทำให้ Warp Finance สูญเสียเงินประมาณ 7.8 ล้านดอลลาร์ แต่วิธีการของผู้โจมตีนั้นไม่สมบูรณ์แบบ และโทเค็น LP มากกว่า 94,000 รายการยังคงถูกล็อคอยู่ในห้องนิรภัย” เจ้าหน้าที่รักษาความปลอดภัยของบริษัทรักษาความปลอดภัยบล็อกเชน PeckShield กล่าว

จากการติดตามและวิเคราะห์ PeckShield พบว่าผู้โจมตีให้ยืมแฟลช 4 ครั้งจาก dYdX และ Uniswap V2 รวมเป็นเงิน 2.9 ล้าน DAI และ 344,800 WETH

ต่อจากนั้น ผู้โจมตีได้จำนอง 2.9 ล้าน DAI และ 4519 WETH ใน Uniswap V2 เพื่อจัดหาสภาพคล่อง สร้างโทเค็น LP 94,349 และแปลงโทเค็นที่สร้างเสร็จแล้วเป็น WarpVaultLP เป็นใบรับรองจำนำของผู้โจมตี เป็นที่น่าสังเกตว่าราคาของโทเค็น LP อยู่ที่ 58.8 USDC ในขณะนี้

จากนั้น ผู้โจมตีได้แปลง 341,000 WETH เป็น 47.6 ล้าน DAI ใน Uniswap V2 ซึ่งจะเป็นการเพิ่มราคาของ DAI และเพิ่มราคาของโทเค็น LP เป็นสองเท่าเป็น 135.5 USDC

ด้วยการเพิ่มราคาของโทเค็น LP และรีเซ็ตราคาของฟีดราคาใบรับรอง oracle จะเป็นประโยชน์สำหรับผู้โจมตีที่จะให้ยืมเพิ่มเติม 3.86 ล้าน DAI และ 3.9 ล้าน USDC (รวมประมาณ 7.8 ล้านดอลลาร์สหรัฐ) ใน Warp Finance

ชื่อเรื่องรอง

การโจมตีด้วยเงินกู้แฟลชเกิดขึ้นบ่อยครั้ง เหตุใดแฮ็กเกอร์จึงประสบความสำเร็จได้

ตามสถิติของ PeckShield มีเหตุการณ์ด้านความปลอดภัย DeFi เกือบ 10 เหตุการณ์ที่ใช้สินเชื่อแฟลชในปีนี้ รวมถึง bZx, Balaner, Havest, Akropolis, Cheese Bank, Value DeFi และ Origin Protocol

การโจมตีเงินกู้แฟลชโดยทั่วไปหมายถึงการโจมตีที่รวมเงินกู้แฟลชและช่องโหว่อื่นๆ เพื่อดำเนินการเก็งกำไรและปั่นราคา ในความเป็นจริงแล้ว สินเชื่อแฟลชนั้นไม่ใช่ช่องโหว่ แต่ผู้กระทำผิดสามารถใช้มันเพื่อรับเงินทุนจำนวนมากด้วยต้นทุนที่ต่ำมาก และดำเนินการปั่นราคาหรือเก็งกำไรระหว่างข้อตกลงหลายฉบับ

บุคคลที่เกี่ยวข้องที่รับผิดชอบ PeckShield อธิบายว่า: "สินเชื่อแฟลชบนบล็อกเชนเป็นวิธีการกู้ยืมที่สามารถยืมได้โดยไม่ต้องใช้หลักประกัน แต่ผู้ให้กู้จะต้องชำระคืนเงินกู้ภายในบล็อกเดียวกัน มิฉะนั้นธุรกรรมจะล้มเหลว ดังนั้น สินเชื่อแฟลชจึงเป็น โดยพื้นฐานแล้วต้นทุนเป็นศูนย์และความเสี่ยงเป็นศูนย์สำหรับแพลตฟอร์มการยืมแฮ็กเกอร์สามารถใช้วิธีการกู้ยืมนี้เพื่อให้ยืมเงินจำนวนมากโดยมีค่าใช้จ่ายเพียงเล็กน้อยจากนั้นใช้เงินทุนเพื่อทำให้เกิดความผันผวนของราคาในสินทรัพย์ดิจิทัลบางส่วนและทำกำไรจากมัน”

เนื่องจากมีการโจมตีด้วยเงินกู้แบบสายฟ้าแลบบ่อยครั้ง ฟังก์ชันนี้จึงถูกวิพากษ์วิจารณ์และถือเป็นเครื่องเงินสดสำหรับแฮ็กเกอร์ แต่ก็มีมุมมองเช่นกันว่ามันเปิดโปงช่องโหว่ของโปรโตคอลก่อนหน้านี้ ซึ่งเอื้อต่อการปรับปรุงความปลอดภัยของโปรโตคอล

บุคคลที่เกี่ยวข้องที่รับผิดชอบ PeckShield แนะนำว่า: "ตามลักษณะของสินเชื่อแฟลช การยืมและการถอนจะต้องเสร็จสิ้นในบล็อกเดียว ดังนั้นสำหรับนักพัฒนาโปรโตคอล DeFi การออกแบบที่ปลอดภัยกว่านี้จะไม่ได้รับอนุญาตให้อยู่ในบล็อกเดียวกัน เงินฝากและ ถอนออก ดังนั้นแฮ็กเกอร์ที่พยายามใช้ประโยชน์จากสินเชื่อแฟลชจึงไม่ต้องทำอะไร”

ในฐานะที่เป็นรูปแบบการให้กู้ยืมที่เกิดขึ้นใหม่ สินเชื่อแฟลชมีความน่าสนใจอย่างมากในแง่ของนวัตกรรม แต่ก็ไม่ควรเป็นเคียวสำหรับแฮ็กเกอร์ ผู้พัฒนาโปรโตคอล DeFi ควรตรวจสอบรหัสของตนหลังจากการโจมตีเกิดขึ้น PeckShield เตือนว่าหากคุณไม่ทราบเกี่ยวกับเรื่องนี้ คุณควรหาหน่วยงานตรวจสอบมืออาชีพสำหรับการตรวจสอบและการวิจัยเพื่อป้องกันปัญหาก่อนที่จะเกิดขึ้น

BTC

DeFi

跨链

ยินดีต้อนรับเข้าร่วมชุมชนทางการของ Odaily

กลุ่มสมาชิก

https://t.me/Odaily_News

กลุ่มสนทนา

https://t.me/Odaily_CryptoPunk

บัญชีทางการ

https://twitter.com/OdailyChina