LOADING...
LOADING...
LOADING...
当前位置: 玩币族首页 > 新闻观点 > 复盘Nowswap闪电贷攻击事件:是谁掏空了 Nowswap?

复盘Nowswap闪电贷攻击事件:是谁掏空了 Nowswap?

2021-09-16 PeckShield 来源:区块链网络

9月15日,PeckShield「派盾」预警显示,以太坊上的去中心化交易所 Nowswap 遭到闪电贷攻击,攻击者掏空了 Nowswap 的流动资金池。

Nowswap 的流动资金池规模从 1,069,197 美元缩至 24.15 美元,据悉 Nowswap 仅提供 ETH-USDT 交易对。攻击者获利 53.6万 USDT 和 158 WETH,合计 100 多万美元。

PeckShield「派盾」分析发现,攻击者利用 Nowswap USDT/WETH 交易对合约中的 K 值验证漏洞,进行多次兑换,每次兑换获得正常应得兑出资产的多倍,直至将交易对池子中的资产薅光。

攻击者将所获 53.6万 USDT 通过去中心化交易所 1inch 兑换为 ETH,并转入去中心化隐私服务器 TornadoCash 进行进一步清洗。

整个攻击到转入 TornadoCash 洗白,再到攻击被发现的几小时内,社区没有一点响应。

这是一场精心策划的内部作案还是一次偶然的攻击?种种迹象令人生疑。

1. 攻击者共进行 60 次操作,每次操作都包含精准的债务计算,这需要研究团队花费一定的时间才能做到恰好掏空整个池子;

2. 项目热度过于低,一般很难令人注意到,且仅支持「有价的」ETH-USDT 交易对;

3. 项目代码未开源。

在 DeFi 资产规模快速增长至逾 1,700 万美元以后,开发人员陷入了激烈的竞争,贪婪也开始与日俱增,老鼠仓、内部作恶、内外勾结…….台面下的交易还能在匿名斗篷下维持多长时间?

—-

编译者/作者:PeckShield

玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。

LOADING...
LOADING...