又一例閃電貸攻擊 Palmswap安全事件分析_USD:PALM

在 2023 年 7 月 24 日，Palmswap 遭受了一次閃電貸攻擊，導致失去了 901,455 USDT（約等于 901,000 美元）。由于項目的 PlpManager 合約存在漏洞，導致 USDP 計算錯誤，從而導致了此次攻擊。

在 2023 年 7 月 24 日，Palmswap 遭受了一次閃電貸攻擊，導致損失約 901,000 美元。攻擊最初是在區塊 30248637 上由外部擁有的地址（EOA）0x5cf40 嘗試發起的，但由于攻擊者耗盡了 gas 費用而失敗。

圖片：失敗的交易。來源：Bscscan原始攻擊者從以太坊網絡的 Tornado Cash 中提取了 1 個 ETH。然后，將 1 個 ETH 兌換成 USDT 并通過跨鏈橋轉移到幣安智能鏈（BSC）。隨后，將 USDT 兌換成 BNB 并用于創建攻擊合約。然而，不幸的是，攻擊者沒有足夠的 BNB 來覆蓋這次攻擊。

PeckShield：DeFi協議MerlinLabs遭到攻擊，是PancakeBunny的又一同源攻擊:5月26日消息，PeckShield“派盾”預警顯示，DeFi收益聚合器MerlinLabs遭到攻擊，此次攻擊手法與5天前遭到閃電貸攻擊的PancakeBunny的攻擊手段相似，損失200ETH。[2021/5/26 22:46:25]

這讓 EOA 0xf84ef 能夠發現失敗的交易，理解并復制了區塊 30248638 的交易從而支付了正確數量的 gas 費用。

圖片：成功交易。來源：Bscscan由此可見，原始攻擊未能成功完成，是因為攻擊者沒有額外的 0.4 BNB 來支付交易費用。

安全公司：PlusToken又一涉案地址開始轉賬:北京鏈安Chainsmap監測系統發現，15pyB7開頭的PlusToken涉案地址于北京時間3月5日上午9:27分開始轉賬，其中7023BTC打入到一個新的地址，這也是該地址自從去年9月20日之后首次轉賬。[2020/3/5]

一旦 EOA 0xf84ef 成功利用漏洞，被盜資金就會被轉移到了 EOA 0x0Fe74，目前仍在該地址中。

圖像：被盜資金轉移。來源：BscscanThe Palmswap 團隊已經聯系持有被盜資金的錢包，并試圖協商賞金。然而，BSC scan 似乎錯誤地標記了一個錯誤的錢包作為 Palmswap 的攻擊者：

聲音 | 宋清輝：區塊鏈未來有可能會成為又一個“互聯網+”:經濟學家宋清輝發文稱：區塊鏈是分布式數據存儲、點對點傳輸、共識機制、加密算法等計算機技術的新型應用模式，能夠有效解決去中心化和人與人的信任問題。區塊鏈的建設和運用，將能夠很好地解決農業產業發展、營商環境建設等各個領域，讓城市變得更美好。當前，我國對區塊鏈是持支持和鼓勵態度的，特別是在制度建設、技術研發方面投入了很大的資源，將來勢必會產生積極而廣泛的影響——區塊鏈未來將會更加普及，有可能會成為又一個“互聯網+”。[2019/11/10]

圖片：鏈上消息提供賞金。來源：BscscanPalmswap 的官方 X 賬戶證實了其與黑客的談判已經開始。

圖片：Palmswap X 官方公告（來源：@Palmswaporg）攻擊過程漏洞利用交易：0x62dba55054fa628845fecded658ff5b1ec1c5823f1a5e0118601aa455a30eac9

BTC又一次跌破9000美元大關:根據火幣全球專業站數據顯示，在USDT交易區，BTC價格再度跌破9000美元大關，暫時報價為8947.47美元，跌幅達到2.4%，而其他主流加密貨幣也紛紛出現下跌現象，如BCH（-3.71%）、EHT（-0.87%）、EOS（-1.05%）。[2018/3/13]

攻擊者：0xf84efa8a9f7e68855cf17eaac9c2f97a9d131366

受漏洞影響的合約：0xa68f4b2c69c7f991c3237ba9b678d75368ccff8f

1.攻擊者使用閃電貸借取了 3,000,000 USDT（價值 3,000,691.52 美元）。

2.通過函數 buyUSDP()，攻擊者將 1,000,000 USDT 與 Vault 交換，獲得了 996,769 Palm USD (USDP) 和 996,324 PALM LP (PLP)。隨后，攻擊者在質押 PLP 后獲得了 996,324 fee PALM LP (fPLP)。

繼蔡凱龍之后，又一券商大佬加盟火幣:此前曾有消息稱袁煜明將就職于火幣集團，就此事金色財經向火幣官方進行確認，火幣官方表示：“袁煜明已經正式加盟火幣中國，擔任火幣區塊鏈應用研究院院長，負責區塊鏈行業研究與規范制度。”據了解，袁煜明曾囊括業內幾乎所有重量級大獎，包括新財富、水晶球、保險行業最佳分析師，第一財經，湯森路透，天眼等。[2018/3/3]

3.攻擊者將剩余的 2,000,000 USDT 與 Vault 交換，得到 1,993,538 USDP，然后觸發了 removeLiquidity() 函數，該函數將前一步中得到的 fPLP 與 Vault 交換，得到 1,962,472 PLP，然后進一步交換為 1,956,585 USDT（價值 1,957,036.45 美元）。由于 PlpManager 合約中 USDP 計算錯誤，Vault 錯誤地將更多的 USDT 返還給了攻擊者。

圖片：plpmanager.sol 源代碼來源：BscScan4.在第 3 步中，1,953,430 USDP 被交換成了 1,947,570 USDT（價值 $1,948,019.41）。

5.攻擊者還清了通過閃電貸借入的最初 3,000,000 USDT，之后攻擊者的錢包中還剩下 $901,445。

在 2023 年，已經發生了 128 起閃電貸攻擊，相比之下，我們在 2022 年只記錄了 101 起。隨著攻擊者尋求從智能合約漏洞中獲取最大利潤，閃電貸攻擊在黑客中變得越來越受歡迎。

在此次事件發生時，閃電貸攻擊已經導致 2.55 億美元的損失，平均每起攻擊導致約為 200 萬美元的損失。在 7 月的前三周，我們已經記錄了 22 起閃電貸攻擊，造成共計 850 萬美元的損失。2023 年每個月的平均閃電貸攻擊次數為 18 次。目前，7 月的閃電貸事件數量正朝著創紀錄的方向發展。目前，它與 2023 年 2 月持平，該月份也有 22 起攻擊事件。

圖表：2023 年閃電貸攻擊導致的資金損失。數據來源：CertiK

圖表：2023 年各月份的閃電貸攻擊次數。數據來源：CertiK結論Palmswap 的閃電貸攻擊是 CertiK 在 7 月份檢測到的第二大惡意閃電貸攻擊，該月份總共損失了 580 萬美元。該攻擊在 2023 年的惡意閃電貸攻擊中排名第十。盡管 2023 年的閃電貸攻擊數量沒有減少，今年已經發生了 127 起，而 2022 年僅有 101 起，但當前損失的資金體量顯著降低。這其中可能有幾個原因。首先，2022 年上半年的市場條件導致被盜的資產在美元價值上更高。其次，由于閃電貸是一個相對較新的概念，用于防御這種攻擊的安全策略仍在開發中，這意味著持有大量資金的項目成為攻擊目標。2023 年的閃電貸攻擊數量證明了項目方需要強大的安全措施和第三方審計。

CertiK中文社區

企業專欄

閱讀更多

Foresight News

金色財經 Jason.

白話區塊鏈

金色早8點

LD Capital

-R3PO

MarsBit

深潮TechFlow

Tags：USDPALMUSDTSDTFDUSDPALM幣usdt幣好賣嗎SDTK幣

酷幣下載