律动BlockBeats 消息,有报道称,4 月 18 日,以太坊上一份协议被黑客攻击,价值 30 万的 ETH 和比特币被盗。据区块链的开发者和 DeFi 的专家 Julien Bouteloup 说,一个攻击者设法从一个基于 uniswap 的池 (一个市场) 中抽走了价值超过 30 万美元的 ETH 和基于以太坊的标记比特币 imBTC。
据律动昨日报道,Uniswap 在此次攻击中损失了 1,278 个 ETH,价值约 22 万美元,此外还有大约 18.37 个 imBTC 被 0x3195c3 和 0x17559a 开头的两个套利者以较低的价格获取。根据 GitHub 发布的一篇透露审计细节的帖子,攻击者利用这个漏洞创建了一个类似于原始交易的「假交易 (池)」。从那里,攻击者可以操纵 Uniswap,使一项资产的价格在原始交易池中非常便宜,这样黑客他们能够以远低于其实际市场价值的价格获得加密货币。在这样的操作下,黑客们盗走的加密货币是 imBTC。
同时据PeckShield 分析,黑客应该也是利用 Uniswap 和 ERC777 的兼容性问题,在进行 ETH-imBTC 交易时,利用 ERC777 中的多次迭代调用 tokensToSend 来实现重入攻击。这次攻击损失仅限于 Uniswap 上的 ETH-imBTC 流动池,其他 DeFi 协议及 BTC 托管均未受影响。目前 Tokenlon 已全面恢复 imBTC 合约转账及交易功能,不过在此期间建议用户先暂停使用 Uniswap 的 ETH-imBTC 流动池。
在过去的几个月里,这已经不是第一次有用户通过利用基于以太的 DeFi 协议中的漏洞来获取巨额利润了。今年 2 月,bZx 协议遭受了两次攻击,两次攻击的时间间隔只有几天。这两次攻击并不完全相同,但是手法有些类似:一名用户从 bZx 取得了一大笔 ETH 的「闪贷」。闪贷是指用户在同一笔交易中借入并归还所借出的资金。ETH 被用来购买另一种以 ETH 为基础的资产。用户通过操纵来改变其他协议对基于 ETH 的资产的价格标准,从而允许通过注册错误价值的价格预言来获取利润。这些攻击导致 bZx 用户分别损失了 30 万美元和 65 万美元左右,总计损失近 100 万美元。
本文地址:https://www.theblockbeats.com/news/15572
区块律动 BlockBeats 提醒,根据银保监会等五部门于 2018 年 8 月发布《关于防范以「虚拟货币」「区块链」名义进行非法集资的风险提示》的文件,请广大公众理性看待区块链,不要盲目相信天花乱坠的承诺,树立正确的货币观念和投资理念,切实提高风险意识;对发现的违法犯罪线索,可积极向有关部门举报反映。
ETH Uniswap 黑客 DeFi 安全