Impossible Finance閃電貸攻擊事件跟蹤_IMP:SIMPLE價格

前言

6月20日，BSC鏈上的DeFi項目ImpossibleFinance突然遭遇閃電貸襲擊，本是漲勢喜人的IF代幣從此也一蹶不振，價值一路下滑。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

事件分析

第一階段：準備階段

Impervious.ai完成種子輪融資，CoinShares、NYDIG參投:4月15日消息，基于閃電網絡的點對點網絡基礎設施Impervious.ai完成種子輪融資，CoinShares、NYDIG、XBTO Humla Ventures Fund、Jungle Boys Capital、Bitcoiner Ventures 和 Lightning Ventures等參投。該筆融資將用于擴大團隊，以開發更多產品，包括移動瀏覽器和基于 Impervious 瀏覽器的新應用套件。

據悉，Impervious 作為比特幣閃電網絡的編程層，為比特幣閃電網絡的實時支付協議增加了點對點通信和數據傳輸功能。（prnewswire）[2022/4/15 14:27:05]

圖1：黑客準備階段流程圖從黑客準備階段流程圖中我們可以看到黑客的最終目的是創建AAA代幣與IF代幣流動性。為此他的具體操作：第一步：獲取IF代幣（利用閃電貸從PancakeSwap中獲取WBNB代幣，并將其兌換成IF代幣)

Blockstream推出Simplicity新版本以簡化合約開發:據官方博客，Blockstream宣布了Simplicity開發的新版本：一個帶有Jets的新開發人員預覽版。Jet可以被認為是預制的構建塊，可以組合在一起構建復雜的Simplicity程序，而不必從頭開始構建一切，從而加快了開發基于Simplicity的智能合約的過程，同時降低了其資源成本。此版本還引入了對比特幣和元素測試分支的Simplicity支持。[2020/4/5]

動態 | 區塊鏈智能手機FINNEY與Simplex合作:據leaprate報道，區塊鏈智能手機FINNEY創造者Sirin Labs 最近稱，已與Simplex合作。此次合作將允許FINNEY用戶通過其冷錢包設施直接從手機上使用法幣購買加密資產。Simplex將為處理法幣與加密資產交易的請求提供安全托管服務。[2019/2/25]

第二步：創建可控代幣AAA(BBB)

第三步：在Impossible中添加了AAA代幣與IF代幣流動性

第二階段：攻擊階段

圖2：黑客攻擊階段流程圖從黑客攻擊階段流程圖中我們可以看到黑客的最終目的是獲得BUSD代幣。他的具體操作：第一步：通過Router合約設置兌換路徑(AAA->IF->BUSD)第二步：在同一兌換過程中進行了兩次兌換操作

第三步：兌換可獲利的BUSD代幣，并兌換IF代幣為下次攻擊做準備

攻擊原理分析

為什么黑客要在同一兌換過程中進行兩次兌換操作？理論上每次兌換操作都將導致K值的變化，用戶一般無法獲得預期數量的代幣。既然黑客這樣操作并獲利，那么一定在合約某處出了問題。果然檢查源碼發現了問題：

cheapSwap函數并沒有檢查K值變化，直接更新價值變化。這就是黑客通過多次兌換操作獲得額外BUSD代幣的原因。總結

本次閃電貸安全事件主要是由于項目方在參考Uniswapv2協議進行創新時，沒能及時對創新內容進行安全驗證。雖然對cheapSwap函數做了限制，但是對其本質的安全性——價格變動卻忽視了，這是不應該的。近期，BSC鏈上頻頻爆發攻擊事件，合約安全愈發需要得到迫切重視。BSC官方目前也發推稱推測有黑客團隊盯上BSC，叮囑各項目方注意規范，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：IMPIMPLSIMMPLimpt幣最新消息simplyBrandSIMPLE價格Amplify Protocol

ADA