最新消息,因为Balancer的漏洞,今晚20:00,又被黑客写智能合约,花费了0.43ETH的手续费,撸走了10.85个ETH。
下面这是交易记录。@Incredible 感谢小in的分析和素材。漏洞都是他看出来的,是个能人。
https://etherscan.io/tx/0xa519835c366bc77d93c9d3e433e653bfc46120688ad146b383f4dd93342cad29/advanced
雷神不幸前几天还投了一万两千元的BAL,本就跌得厉害。今早听闻Balancer爆出了智能合约漏洞,立马清仓了。结果没想到没到24小时,Balancer就再次爆发了安全事件,这是Balancer一天之内第二次爆发了安全漏洞事件。DeFi项目的安全性确实值得深思。
这次是COMP+Balancer+Uniswap跨系统撸羊毛攻击。
简单来说,就是利用Balancer的漏洞,黑客搞了256个内联交易,超高频存入,撸走了在Balancer里的COMP挖矿收益。
总体过程是这样的。
就是他借了一大堆ETH,DAI,USDC,去存Compound借BAT,借BAT存BAT,存的BAT和借存的USDT还有一堆COMP,存Balancer的池子里去了,然后马上拿出来,顺带带走没结算的利息。
前面那些其实没有异常,就是最后存入Balancer池子里,然后提出来,也就是红字的部分出了问题。
所有用户存到Balancer池的币,Balancer会帮用户去挖COMP,然后按比例。等用户提币的时候分配给用户,但是该池子有个漏洞,之前积攒的COMP,会被后面来的用户闪存闪提给提走。主要原因是Balancer的分配机制存在问题。黑客高频充提,虽然每次提币后在最后结算COMP收益时却没有清零。这个问题就导致了,高频充提后黑客的COMP分配权重就会累积到非常高的比例。
比如池子里一共有1万USDT,这个黑客有1万USDT充进来,然后提出去,然后池子分配挖到的COMP时总权重就变成了2万USDT。然后黑客疯狂充提了99次,总权重变成了100万USDT,这个黑客就能分得池子里未分配的COMP的99%。如果充提次数继续增加,黑客几乎就能提走全部的池子挖到的未结算的COMP。
这次攻击最后就提走了全部的COMP,价值10.85个ETH。
还好雷神卖的快,这次漏洞消息还没传开,还没反应到币价上。我19.5美元进的,早上11.7美元出的,才三天时间,亏掉了4000多,四成没了。好惨。DeFi代币投资需谨慎啊。
这次Balancer问题大了。希望赶快修复漏洞吧。
版权声明:项目均采集于互联网, 空投币 无法审核全面,且希望大家能赚钱,请谨慎切勿上当受骗!
温馨提示:★★★天上真会掉馅饼!天道酬勤,都是机会!不错过每个空投糖果!真假难以辨认,尽量0撸!
