鸵鸟区块链

SharkTeam独家分析 | 闪电贷&操纵预言机:Ploutoz Finance被黑事件分析

SharkTeam 2021-11-24 17:04
摘要:

闪电贷&操纵预言机:Ploutoz Finance被黑事件分析

北京时间11月23日,BSC上Defi借贷协议Ploutoz Finance遭到闪电贷攻击,黑客获利26.5万美元,协议损失更大。黑客利用被操纵的DOP做为抵押品借入其他资产,包括CAKE、ETH、BTCB等,随后通过ParaSwap和PancakeSwap交易位BNB后转入混币协议TornadoCash。

SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

一、事件分析

1.攻击者从PancakeSwap的WBNB/BUSD交易对中闪电贷1000400 BUSD,然后将1000000 BUSD通过TwindexRouter兑换成了570234 DOP,抬高了 TwindexSwap DOP/BUSD交易对中DOP的价格;经剩余的400 BUSD通过 PancakeRouter 兑换成了8841 DOP,抬高了PancakeSwap DOP/BUSD交易对中DOP的价格。

image.png

2. 抵押8450 DOP,借贷了85 Cake,18000 DOLLY,18 ETH,1.6 BTCB,89000 BSC-USDT以及90000 BUSD

image.png

image.png

3. 将剩余的DOP兑换成 BUSD,结合借贷的90000 BUSD,偿还闪电贷。

image.png

攻击者能够攻击成功,原因在于攻击者在借贷的过程中抬高了DOP的价格,从而在将DOP作为抵押物时可以借出更多价值的其他资产,当DOP价格恢复的时候,借出的资产价值比抵押物的价值更高,破坏了超额抵押的规则,最终从中获利。

image.png

image.png

image.png

image.png

image.png

image.png

对于sourceToken DOP,由于第一步中就抬高了TwindexSwap的BOP/BUSD交易对中的DOP的价格,导致在借贷的时候DOP以一个超出正常价值的价格用于抵押,从而可以借出超出其价值的其他资产。

二、安全建议

SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。

SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容,全面保障智能合约安全。

image.png

==

欢迎加入鸵鸟区块链Telegram社群

中文社区 https://t.me/tuoniaox

英文社区 https://t.me/tuoniaoGroup

声明: 鸵鸟区块链所有发布内容均为原创或授权发布,如需转载,请务必注明文章作者以及来源:鸵鸟区块链(微信公众号:MyTuoniao),任何不尊重原创的行为鸵鸟区块链都将进行责任追究!鸵鸟区块链报道和发布内容,不构成任何投资建议。

SharkTeam

——

72 篇 作品