链上数据显示,自圣诞节以来,比特币(BTC)鲸鱼的购买量有所增加。这表明高净值投资者正在继续买入新供应的比特币。
通过链上数据将机构投资者与个人投资者区分开来几乎是不可能的。然而,这一趋势表明,尽管比特币价格上涨,但拥有大量资本的投资者正越来越多地进入比特币市场。
大量比特币供应持有者 来源:Santiment
鲸鱼为什么继续购买更多的比特币?
据Santiment的分析师称,大约6.47亿美元的比特币可能从小地址转移到大地址。
持有超过1000个比特币或更多的地址被许多分析师视为鲸鱼,因为以目前的价格27100美元计算,1000个比特币相当于超过2700万美元。分析师写道:
“自圣诞节以来的过去48小时内,拥有1000或更多比特币的地址现在拥有的供应量比之前较小的地址多0.13%。这大约是24158个比特币,在写这篇文章时,这相当于6.477亿美元。”
自2020年年中以来,比特币上涨了近三倍,可以说,在不久的将来,比特币的上行空间是有限的。
尽管如此,大多数链上数据显示,在主要交易所中出售的鲸鱼较少。CryptoQuant首席执行官Ki Young Ju表示:
“比特币鲸似乎疲于出售。较少的鲸鱼将比特币存入交易所。我认为,随着机构投资者继续购买并且交易所鲸鱼比率保持在85%以下,本轮牛市将继续下去。”
比特币交易所鲸鱼比率 来源:CryptoQuant
鲸鱼可能在当前价格范围内囤积比特币的主要原因有两个。
首先,尽管比特币的涨势过度,但鲸鱼可能会认为3万美元的心理关口将突破。如果是这样,期权数据表明36000美元可能是短期内的目标。
其次,除了CME缺口和期货市场高资金费率之外,没有充分的理由预期会出现一次重大调整。
但如果比特币在每次反弹后都出现盘整,就像过去两天那样,那么资金费率可能会正常化。当这种情况发生时,衍生品市场的过热程度将有所降低,从而提高了新一轮上涨的可能性。
一位名叫“Byzantine General”的匿名交易员表示,市场目前发出相互矛盾的信号。多头和空头合约的持有人都具有侵略性,这使得多头和空头都可能受到挤压。他说:
“这种矛盾的信号。多头和空头都过于激进。我也许应该袖手旁观。”
近期可能的情况是出现更多盘整
通常,Coinbase上的比特币价格高于币安和其他一些交易所。然而,在过去一周中,比特币在Coinbase上的交易价格略有下降,约为20至30美元。
尽管价差很小,但这表明在整个12月推动比特币上涨的美国买家需求可能正在放缓。但是亚洲市场和衍生品市场的买家需求正在增加。
考虑到美国现货市场对比特币的需求似乎正在降温,因此比特币可能会在较低波动率的情况下盘整更长的时间。
Cointelegraph中文作为区块链新闻资讯平台,所提供的资讯仅代表作者个人观点,与Cointelegraph中文平台立场无关,且不构成任何投资理财建议。如需转载请联系Cointelegraph中文相关工作人员。
温馨提示:本站所提供的资讯信息不代表任何投资暗示,本站所有资讯仅代表作者个人观点,与币圈财经官方立场无关。
相关推荐
-
BSC生态又一起“闪电贷攻击”:ApeRocket Finance被黑事件简析
一、事件概览 北京时间7月14日,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,BSC生态DeFi收益耕种聚合器ApeRocket Finance遭遇“闪电贷攻击”。据相关消息指出,此次攻击事件中,攻击者针对的是ApeRocket其下Apeswap的SPACE-BNB池,其项目代币SPACE已下跌逾75%。 成都链安·安全团队近期已披露多起BSC生态“闪电贷”攻击事件,在ApeRocket Finance被黑事件中,攻击者依然利用了“闪电贷”的攻击原理,“换汤不换药”,通过操纵项目合约的“质押收益”和“奖励机制”从而进行获利。值得注意的是,ApeRocket Finance是本月首起较为典型的安全攻击事件,在此提醒各项目方做好日常安全审计和安全防护工作。 二、事件分析 Ø 攻击过程分析 1. 攻击者首先利用了“闪电贷”,借取了1259459+355600个cake。 2. 随后,将其中的509143个cake抵押至AutoCake(相当于是Aperocket的策略合约)。 3. 攻击者将剩余的1105916个cake直接打入AutoCake合约。 4. 然后攻击者再调用AutoCake中的harvest触发复投,将步骤3中打入Autocake的cake进行投资。 5. 完成上述攻击步骤后,攻击者调用AutoCake中的getReward结算步骤2中的抵押盈利,随即触发奖励机制铸币大量的SPACE Token进行获利。 6. 归还“闪电贷”,完成整个攻击后离场。 Ø 攻击原理分析 l 在此次攻击事件中,攻击者首先在AutoCake中抵押了大量Cake,这使得其持股占比非常之高,从而能够分得AutoCake中几乎全部的质押收益。 l 在步骤3中,攻击者直接向AutoCake合约中打入大量cake,这部分cake因并没有通过抵押的方式打入AutoCake合约;根据合约自身逻辑,将会被当作“奖励”(抵押cake,奖励也是cake)。 l 一来一回,直接打入AutoCake中的cake大部分最终也会结算给攻击者。 l 但另一方面,在进行getReward操作时,函数会根据质押而获得奖励的数量来铸币SPACE Token发放给用户,做为另外的奖励。在正常情况下,质押奖励较少,因此铸币的SPACE Token也会很少;但由于攻击者上述的操作,便导致铸出了大量的SPACE Token。 三、事件复盘 不难看出,这是一次典型的利用“闪电贷”而完成获利的攻击事件,其关键点在于AutoCake合约自身逻辑的“奖励机制”,最终导致攻击者铸出了大量的SPACE Token完成获利。同时,这也是本月首起典型的“闪电贷”攻击事件,值得引起注意。 成都链安·安全团队建议,随着“闪电贷”在DeFi生态越来越受青睐,潜藏在暗处的攻击者也随时准备着利用“闪电贷”而发动攻击。因此,DeFi生态各项目方仍然需要格外重视来自“闪电贷攻击”的威胁,与第三方安全公司积极联动,构建起一套完善而专业的安全防护机制。 文章来源:BSC生态又一起“闪电贷攻击”:ApeRocket Finance被黑事件简析
-
BSC链上项目再遭黑客攻击,“黑色5月”阴云持续? | PancakeHunny被黑事件简析
一、事件概览 北京时间6月3日11时11分,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,BSC链上项目PancakeHunny遭遇黑客攻击。据统计,此次攻击事件中,黑客总共获利43ETH(合计10余万美元)。 面对又一起发生在BSC链上的项目被黑事件,成都链安·安全团队第一时间启动安全应急响应,针对PancakeHunny被黑事件进行跟踪分析,以提醒BSC链上各大项目切实提高安全防范意识,警惕“黑色5月”阴云的持续笼罩 。 据了解,PancakeHunny是PancakeBunny的又一仿盘项目。在本次被黑事件中,黑客采取的攻击手法大体上与此前攻击PancakeBunny近似,均是在短时间内增发大量的代币并抛向市场,并引起了HunnyToken币价暴跌。 二、事件分析 成都链安·安全团队针对被黑代码展开跟踪分析,根据已披露的线索和攻击交易上来看,黑客主要是利用了HunnyMinter函数的设计缺陷进行了攻击,如下图所示: 需要注意的是,mintFor函数用于将收取的手续费转化为HunnyToken并返还给用户;但在读取需要转换的手续费时,错误地使用了balanceOf做为参数,且在兑换HunnyToken时,使用的是固定兑换比例(当时为1 BNB:3200 HunnyToken),这给了黑客发动攻击的可乘之机。 黑客首先向hunnyMinter合约中打入了56个cake代币;再同时调用CakeFilpValut合约中的getReward函数,间接触发了hunnyMinter中的mintFor函数。 此时hunnyMinter合约中因存在黑客打入的cake,导致能够兑换大量的HunnyToken;而此时的HunnyToken的价格,已经超过设定的固定值,这使得此处存在套利空间。后续黑客一直使用相同方法进行套利,直至项目方置零固定兑换比例hunnyPerProfitBNB。 三、事件复盘 不难看出,此次事件是又一次发生在BSC链上的仿盘项目的被黑事件。结合5月多起诸如Merlin、AutoSharkFinance等FORK项目被黑经历来看,黑客针对BSC链上仿盘项目的攻击态势仍然在持续发酵。在此,成都链安提醒各大FORK项目尤其需要注重安全风险,加强安全防范工作,切勿懈怠。 同时,针对项目本身的开发和创新,我们建议开发者需要对原生项目进行深入理解,切勿一味地照搬和模仿;特别是在安全建设方面,在同步原生项目的安全防护策略之外,也需要联动第三方安全公司的力量,建立一套独立自主的安全风控体系,以应对各类突发的安全风险。 文章来源:BSC链上项目再遭黑客攻击,“黑色5月”阴云持续? | PancakeHunny被黑事件简析
-
圆桌实录:聚焦区块链网络安全“攻防战”,行业参与者如何避免资产损失?丨2021世界区块链大会
7月24日,“2021世界区块链大会·杭州”在杭州未来科技城学术交流中心召开。本次大会由杭州时戳信息科技有限公司(巴比特)主办,杭州未来科技城管委会等机构支持 。 在创新融合与区块链安全治理论坛上,一场题为《区块链网络安全治理》圆桌讨论引得全场关注。 本场主持人是《财经》区块链频道链新主编朱星,嘉宾有浙江省公安厅刑侦总队区块链犯罪课题研究负责人徐昱、无极实验室首席研究员史金涛、PeckShield(派盾)创始人兼CEO蒋旭宪以及北京市中伦律师事务所律师谭天。 以下内容经巴比特整理,是本场圆桌的精华内容。 01《财经》链新主编朱星:首先请各位嘉宾做一个自我介绍。 徐昱:我从事了多年的新刑事网络犯罪的打击工作,也接触了很多区块链相关的犯罪案件。作为一个刑警,我更多关心的是案件和安全相关的问题。在平时案件研判的过程中,也会和行业内的企业进行良好的沟通和互动,希望更多的从业者可以关注犯罪相关的案件。 史金涛:我来自无极实验室。我是信息安全攻防出身,之前主要是做一些传统互联网行业的安全攻防、安全建设等工作,目前在无极实验室主要是负责区块链链上安全攻防研究以及区块链犯罪分析、溯源追踪等工作。无极实验室聚焦于区块链情报、安全、溯源追踪等多个方面的研究工作,是一家比较新的区块链安全独立供应商。 蒋旭宪:我来自于PeckShield(派盾),是一家专注于区块链安全的创业公司,成立已有三年的时间。 谭天:我来自北京市中伦律师事务所,律所于1993年成立,目前是国内规模最大的律师事务所之一。我们从2015年开始针对区块链相关的法律监管和法律合规的问题进行研究,也为很多的企业和项目提供了法律方面的咨询,包括合规的法律咨询和服务。 02《财经》链新主编朱星:徐警官,你办理的案件中,涉及到区块链或者是加密资产的时候有哪些特点,或者说在这个行业中从业,不管是投资,还是涉及到从业,应该避开哪些坑? 徐昱:这个领域对于投资者来说,首先有很多新的区块链相关的案件发生,这个领域趋势和我们传统犯罪的趋势是一样的,大家都知道几年之前更多的犯罪是线下的盗窃、抢劫等,但是随着电子支付以及互联网的发展,往往抢或者偷不到现金了,并且伴随路面监控和人像识别技术不断的发展,传统犯罪越来越少。在三四年前,线上的犯罪超过了线下的犯罪。区块链这个领域也是类似的,几年之前更多是使用区块链作为一个工具进行犯罪,但是现在的区块链犯罪侵害的主体更多的是区块链生态本身。 浙江省公安厅刑侦总队区块链犯罪课题研究负责人 徐昱 03《财经》链新主编朱星:史总主要是做一些安全方面的工作,目前黑客攻击或者说你们团队所接触的案件出现了哪些新的手段? 史金涛:针对不同的角色,对应面临的威胁也是不同的。 对于交易所等中心化机构来说,APT攻击以及链上攻击我认为是目前最大的两个威胁。APT攻击,高级持续性威胁,一般都是一些职业黑客团队组成的。在来到区块链行业之前,这些组织一般都是盯着政府、商业情报、SWIFT跨境结算系统这些行业的。这些组织有着体系化的分工,执行公司化运作,使用各种方式通过入侵到中心化机构内部,盗取核心钱包资产;而链上攻击主要是以双花攻击、基于漏洞的假充值攻击为主的攻击方式。根据无极实验室的跟踪研究,目前我们定位到一个专门进行双花攻击的团队,这些人来自多个东欧国家,具备专业的双花经验和设备,且有着成熟的变现渠道。从去年下半年到今年的多起双花攻击都与这些人有着极为密切的关系。 对于一些DeFi的区块链项目来说,通过找寻代码或者业务逻辑漏洞是黑客常用的手段。智能合约的授权机制漏洞、针对各类DeFi的“闪电贷”攻击等,都是黑客常用的手段。解决这些问题,主要还是依赖事前的措施,如严格按照规范编写合约、做好合约安全审计等。 对于普通用户,黑客常见的手段则是钓鱼、诈骗。通过“高额返现”的幌子,诱导用户使用钱包进行转账,通过使用技术手段盗取用户钱包资产;或者引导用户进行虚假投资,骗取用户资产等。黑客的手段随着时间以及新的业务模式在不断的变化,未来肯定还会有其他的手段等着我们去应对、解决。 无极实验室首席研究员 史金涛 04《财经》链新主编朱星:蒋总,你觉得在接下来哪些领域容易成为黑客攻击的重点领域,投资者应该注意什么? 蒋旭宪:我们看的问题跟你们的角度不一样,我们看到一些新的攻击发生的趋势,更多的是链上链下的融合,尤其是给勒索软件提供了便捷的渠道,也是一个新的行业在早期发展的时候,它们跑路、诈骗是很有市场的,这个时候规模也比较大。另一方面,尤其从新型的DeFi协议出现后的情况来看,攻击者的手段是很有准备的,不仅是协议漏洞的应用,还有跨链资产的转移,攻击发生之后,可以在半个小时内洗完盗窃的资金,这个给监管带来了很大的挑战。 如果投资者对这个领域感兴趣的话,首先是不要拿全部身家来投资,不要轻信“专家”、“内部人士”…
-
为了Gitcoin的捐赠空投,散户完成了一次「女巫攻击」
北京时间 2021 年 3 月 10 日 16:25,距 Gitcoin Grant9 捐赠活动开始还有 5 个多小时。 前以太坊雷电网络核心开发者,Rotkiapp 创始人 Lefteris Karapetsas 在推特表示: 「嗯… 醒来后发现,在 Gitcoin 中新增了 28 个为 Rotkiapp 捐助的成员。 非常感谢,但是这一轮活动(Grant9)还没有开始。 我想可能是网站的更新误导了很多人,让他们以为昨天晚上 Grant9 已经开始了。」 以太坊预测市场 Gnosis 和社交项目 CirclesUBI 创始人 Martin Köppelmann 在推文下回复说: 「我也在 Circles 中发现类似的捐款情况。所有这些捐款金额都在 1 美元内,并且全部来自那些看起来像机器人的账户——在我看来,似乎有人正在测试/进行女巫攻击(Sybil Attack, Sybil 攻击 是指利用社交网络中的少数节点控制多个虚假身份,从而利用这些身份控制或影响网络的大量正常节点的攻击方式)。」 随后,Martin 还上传了其中一个账户的截图(Lefteris 也对此表示了赞同),并 @Gitcoin 官方。 (为保护用户隐私,律动将用户名进行了模糊处理) 这一切的源头一定是绕不过的一个词: 空投 Badger DAO、Stake DAO(现更名为 Blackpool Finance) 和 Mask Network 等热门项目均对参与了 Gitcoin 捐款的用户进行了代币空投,其中 Badger DAO 和 Stake DAO 是对所有参与了 Gitcoin Grant8 的用户进行了空投,而 Mask Network 则仅对其捐赠的用户进行了空投。 在潜在的空投引诱下,小部分用户开启了「宁可错杀一千,也不放过一个」的多账户,多项目捐赠模式。当前数据显示,Gitcoin Grant9 第一天共有 1677 人参与,共捐赠 15.8 万美元,平均每人捐赠 94.2 美元(上文中提到的,近乎女巫攻击的均价第一 1 美元的捐赠由于时间问题被划归在外)Gitcoin Grant8 在回顾中总结的数据为,5000 人参与,共捐赠 57.1 万美元 ,平均每人捐赠 114.2 美元。相比之下,平均捐赠量下降了 17.5%。而从 2020 年 12 月 22 日到今日,比特币和以太坊的涨幅分别为 151% 和 183%。 在介绍 Gitcoin 及其涉及的机制之前,先将 Gitcoin Grant9 的捐款介绍如下,供大家参考,如有特殊情况,可以加入 Gitcoin 的 Discord grant-help 频道寻求帮助。 1. 登陆并注册 Gitcoin。https://gitcoin.co 2. 进入主页,在选择网页最上端选择 Products,弹出窗口选择 Grants。 3. 选择 Explore Grants 以浏览所有参与 Grants 9 的项目。 4. 本次 Grants 9 捐款持续时间为 3 月 10 日至 25 日,配捐资金池超 50 万美元,总计将有 100 万美元的奖金。 配捐资金池资金将分配给以下类别的项目:基础设施:12.5 万美元;社区:12.5 万美元;DApp:12.5 万美元;NFT:5 万美元;东亚和东南亚地区:5 万美元。下图即为相关的分类,用户可以自行浏览并选择喜爱的项目进行捐款。 5. 在选好项目之后,点击 Add to Cart,并在随后弹出的窗口中点击 Checkout 进行捐赠结算。 (捐赠类型多种多样,ETH、DAI、USDC 等多种 ERC-20 代币均可捐赠) 6. 点击支付后,在弹出界面底端选择支付方式。 6.1 基于以太坊主网的标准结算。 点击 Standard Checkout,进行结算。 共计向三个项目捐款 0.3 个 ETH,需要支付 0.02ETH,约 36 美金的 Gas 费(由于是分别向三个项目转账,可以得出当前情况下每次向项目转账需 12 美元的结论)。 6.2 使用 zkSync 进行结算 点击 Checkout with zkSync 进行结算。zkSync 详细使用教程可以参阅《Layer 2 使用教程系列一:教你使用几大 Layer 2 应用》。 仍然向三个项目捐赠 0.3 个 ETH,需要支付 0.61 美元的 Gas 费,每次转账约为 0.2 美元。 6.3 两种支付方式优劣比较 相较而言,使用 L2 的 zkSync 更为节约成本,但需要注意的是,使用 zkSync 和其他的 L2 一样,均需要将代币转移至 L2 层,所以需要一笔 Gas 较高的从 L1 至 L2 的转账(如果需要将代币从 L2 转至 L1,则更需要一笔锁定期长且 …
-
观点 | 剖析区块链安全性的洋葱模型
从实证来看,公链是安全的。纵观其历史(尽管还很短),公链确实做到了其设计用途:流畅地处理交易。这是我们有目共睹的。至于为什么会这样,很难想出一种理论来解释。 面对自己看好的项目,人们通常会从他们最能理解和最看重的地方来解释其安全性。“某某公链的安全性由什么保障?”无论你问谁这个问题,得到的答案不外乎经济激励、算力去中心化、全节点、持相同价值观的狂热社区。这没什么好惊讶的:正如工具定律(又称马斯洛的锤子)所言,人们太过依赖自己熟悉的工具。如果你手里只有一把锤子,你就会把所有事物都当作钉子来对待。 我并不认为上述因素中的任何一个足以保障公链的安全性。即使一条公链在某一方面做到了无懈可击,要攻击它也绝非难事。例如,在一个所有用户都运行全节点的网络中,矿工依然能够伪造另一条链来控制所有链上资产。因此,必定是各个因素相辅相成、相互影响,才能为免许可型数字现金系统提供足够强的安全性。 剖析区块链安全性的洋葱模型我提出了一种区块链安全模型,希望将构成安全性的每个元素都清晰地展示出来。该模型旨在帮助我们更全面地看待公链,找出其优缺点,并对不同公链进行对比。公链的安全性就像是一颗洋葱,每一层都增加了额外的安全性。 要想永远摧毁一条公链,必须摧毁用户对其账本状态(所有权清单)的信任,还要让这条公链无法可靠地更新账本状态。外面几个安全层都是为了防止这种情况发生。 攻击必须通过这个漏斗状的防御层才能触及核心。现在,让我们逐一分析这些安全层。 密码学保证最外层保护由密码学保证提供。密码学是最可靠的保证形式,因此我们希望它作为第一道防线来挡住尽可能多的攻击。密码学主要能够保证以下几点: 无法凭空增发代币:所有区块(以及所有区块奖励)必须附带有效的工作量证明。 无法盗用他人的代币:数字签名方案可以确保代币只能由其合法所有者使用。 无法篡改之前区块的数据:得益于哈希指针,如果有攻击者想要篡改之前某个区块的数据,必须重构从那个区块开始至当前区块的这段链。 上述攻击都被拦在了第一道防线之外: 然而,强大如密码学也有它提供不了的保障。例如,如果出现两个同样长的链,它无法决定哪条是对的(这需要来自现实世界的信息,例如 “多数人会选择哪条链” 和 “从长远来看哪条链的市值会更高” )。它也无法强迫矿工在特定区块上挖矿,挖到区块后立即广播,甚至无法确保他们打包特定交易。 共识保证一些通过第一个安全层的攻击会在共识层被阻断。在中本聪共识下,节点时刻关注网络并自动切换至最长(成本最高的)链。只有在最长链上挖到区块的矿工才能获得报酬。因此,他们需要与其他矿工达成共识。这就导致矿工极度偏向于在链的顶端挖矿,只有这样他们的区块才最有可能被其他矿工认可。 如果有恶意矿工想要在之前的区块上挖矿,就要与其他在链顶端挖矿的矿工展开竞争。他必须比其他所有矿工更快挖出区块,才能赶上并超越他们。但是出块速度取决于算力占比,他成功的可能性极低,哪怕只是浅尝辄止的重组。 要想发起有效的攻击,攻击者首先要获得共识层的控制权。这就意味着,如果是工作量证明共识机制,需要控制 50% 以上的算力;如果是基于拜占庭容错的权益证明共识机制,需要控制 33% 以上的押金;如果是基于最长链原则的权益证明共识机制,需要控制 50% 以上的押金。 这类攻击的难度通常被低估了。例如,政府通常被视为公链的最大威胁。然而,如果它们想要在一级市场上购买必要的硬件,很快就会发现硬件的年产量受限于中国大陆、中国台湾和韩国的芯片代工厂。而这些芯片代工厂的产量又受到澳大利亚稀土开采、亚洲和非洲的晶片生产等因素的限制。因此,芯片的年产量非常有限,即使买家再积极也无济于事。光是买够必要的硬件就需要至少 2 到 3 年,而且还没法做到神不知鬼不觉。 除非政府没收现有硬件来获得 50% 的算力或强迫矿池运营者联合起来发动攻击。这样一开始或许行得通,但是等到矿工察觉并转走算力就不行了。虽然这类攻击短期内不可能发生在比特币身上,但是那些掌握较少算力或押金的小型网络就难说了。 经济保证我之前就已经论述过,得益于经济保证,如果某个实体控制了共识层,区块链不会立即崩溃。通过采取适当的激励措施,区块链可以让作恶具有真实的代价。之所以能够做到这点,是因为区块链通过原生代币引入了数字稀缺性(以及价值)的概念,可以(通过区块奖励和手续费)奖励善行并(通过罚没押金或扣发未来奖励)惩罚恶行。 奖惩的规模与参与者对共识层的控制权成正比。如果控制较多(乃至绝大部分)算力的参与者破坏网络,损失也会更惨重。因此,潜在的经济损失会让攻击者望而却步。 并非所有经济激励的效果都一样。区块奖励的价值相对网络价值越高(译者注:意思似乎是区块奖励与手续费奖励在矿工收入中所占的比例),网络的安全性就越高,因为这样对矿工的利害影响越大。(这就是为什么区块奖励降低会对比特币的安全性构成威…
-
BSC链上“闪电贷攻击”再袭! | xWin Finance被薅羊毛事件简析
一、事件概览 北京时间6月25日,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,基于币安智能链(BSC)的链上DeFi协议xWin Finance遭到“闪电贷攻击”。据统计,xWin Finance代币(XWIN)24小时跌幅达近90%。 成都链安·安全团队第一时间介入分析,针对xWin Finance被黑事件启动安全应急响应。经由分析,xWin Finance被黑事件颇具“代表性”及“典型性”,有必要针对攻击流程进行披露,以起警示作用。攻击者通过“闪电贷”套出原始资金,并重复攻击步骤,最终完成获利,成功“薅羊毛”。 二、事件分析 首先,攻击者利用“推荐人将获得奖励”的特殊机制,利用“闪电贷”多次添加和移除流动性,从而获得了巨量奖励,以进行获利。 下图是攻击流程的一个循环: 1. 攻击者首先利用闪电贷借来的巨量BNB并调用Subscribe,从而获得了LP以及多余的XWIN(将向推荐人发放XWIN奖励); 2. 攻击者移除流动性,并兑换多余的XWIN进行回本; 3. 反复上述操作,不断积累奖励的XWIN; 4. 最终,攻击者取出积累的XWIN奖励,全部兑换成BNB,离场。 三、事件复盘 看到这里,不难发现,此次xWin Finance被黑事件攻击手法并不复杂;与其说此次事件是一次“黑客攻击”,其实更像是一次“黑客薅羊毛”。攻击者利用了xWin Finance的“奖励机制”,不断添加移除流动性,进而获取奖励。在正常情况下,由于用户的添加量不大,因此获取的收益可能会很小,甚至不足以支付手续费;但在巨量资金面前,奖励就会变得异常高了。 因此,成都链安·安全团队建议,项目方在日常的安全防护工作之中,除了要搭建起一整套健全的防范机制和风控系统以外,也应当注意核查项目自身的推广手段和奖励机制是否会存在一定漏洞,以防攻击者借机开展攻击,造成巨额损失。 文章来源:BSC链上“闪电贷攻击”再袭! | xWin Finance被薅羊毛事件简析
-
币价暴跌遇上黑客盗窃,越安全的协议才能活的越久
币跌了,或许有一天还能涨回来;但币丢了,或许就永远失去了。 5月19日,加密市场遭遇了史上最大规模的暴跌,万亿美元市值蒸发,惨烈程度超过了2020年的“3·12”。 如果你被市场暴击,然后又被黑客盗币,那就真的更加不幸了。 现实就是,在这场暴跌的同时,发生了数起规模千万甚至亿美金级别的黑客事件。 1.5月16日,跨链智能收益协议bEarn Fi遭受黑客攻击,损失1100万枚BUSD 2.5月19日,BSC借贷协议Venus被人为导致大额清算,出现1亿多美元的坏账 3. 5月20日,BSC生态DeFi收益聚合器PancakeBunny遭黑客闪电贷攻击,损失约4500万美元 每周,甚至每天都有1个项目倒下。 币安智能链最近成为了掠食者猎物。黑客开始在这个复制以太坊代码的平台上享用大餐。 今天介绍的是最近黑客被吞食的一个协议——bEarn Fi,损失价值大约1100万美元的代币。 以下内容摘自Peckshield和bEarn攻击分析。 从2021年5月16日上午10:36:20 + UTC开始,BearnFi的BvaultsBank合约被黑客利用,大约1100万美元的资金从资金池中流失。 这起事件的原因是由于内部提款逻辑中的错误,该错误不一致地读取了相同的输入金额,但BvaultsBank与关联策略BvaultsStrategy之间的资产面额不同。 BvaultsBank的提款逻辑假定提款金额以BUSD计价,而BvaultsStrategy的提款逻辑假定提款金额以ibBUSD计价。 但是,ibBUSD是带息的代币,比BUSD贵。 1.通过闪电贷从CREAM借入7,804,239.111784605253208456枚BUSD, 在最后一步将这笔贷款还上并支付必要的手续费来覆盖闪电贷的成本。 2.将借入的BUSD资金存入BvaultsBank,并立即发送到相关的BvaultsStrategy策略,然后发送到Alpaca Vault以获取收益。 由于上述这笔存款,Alpaca Vault同时铸造7,598,066.589501626344403426枚ibBUSD,并返回到BvaultsStrategy。 3.通过Alpaca FairLaunch,用收到的 7,598,066.589501626344403426枚ibBUSD进行挖矿。 4.将上面存入7,804,239.111784605253208533枚BUSD从BvaultsBank取出,然而这被错误地解释为提取7,804,239.111784605253208533枚ibBUSD,相当于8,016,006.09792806917101481枚BUSD。 5.接下来,该用户重复操作,仍将7,804,239.111784605253208533 BUSD存入BvaultsStrategy,再依次存入BvaultsBank。 但是,由于上一轮有此前剩余的资金,BvaultsStrategy会向用户记入8,016,006.09792806917101481枚BUSD,这笔钱再次通过Alpaca进行挖矿。 6.重复上述操作,持续积累,直到最后耗尽池中的资金。 7.最后一步,偿还在第一步中通过闪电贷借入的 7,806,580.383518140634784418枚BUSD。 攻击者通过上述攻击获得的资金最初存放在这个钱包中:https://bscscan.com/address/0x47f341d896b08daacb344d9021f955247e50d089。 BSC复制的代码为很多寻找协议漏洞的黑客提供了财富机会。当我们看到BSC生态上的TVL快速上涨和跌落,显然时间才是最昂贵的安全审计手段。 活的越长意味着越安全,反之,越安全意味着可以活的越长。 文章来源:币价暴跌遇上黑客盗窃,越安全的协议才能活的越久
-
从COVER到OVER,攻击事件复盘
作者:秦晓峰 来源:Odaily星球日报 有些 DeFi 项目如果出现问题,可以通过保险挽回损失。但如果保险公司被攻击了,又该怎么办? 28日晚上,DeFi 保险项目 Cover Protocol 遭遇黑客攻击,导致代币增发超过万亿枚。黑客先后在 SuShiSwap、Uniswap 等 DEX 上进行套现,直接导致代币 COVER 价格从 800 美元暴跌超过 90%,截至发稿前 Uniswap 上 Cover 暂报 23 美元。 事件发生后,OKEx、抹茶等中心化交易所第一时间关闭 Cover 充提,币安方面暂停 Cover 交易。 欧科云链OKLink数据显示,攻击也导致 Cover Protocol 的总锁仓量短时出现大幅下降,当前Cover 总锁仓量约合 3112 万美元,降幅达 31.17%。 今年 11 月 28日,Cover Protocol 与 Yearn Finance(YFI) 进行合并。截至发稿前,Yearn Finance 的核心开发人员 Banteg 表示,他们正在调查此问题,Cover Protocol 官方团队也劝告投资者不要再次购买 COVER。 一、事件复盘:合约漏洞增发 今晚 18 点,推特用户 CryptoKebab 表示,Cover 疑似遭到黑客攻击,增发了 1 万枚 COVER 代币,并且已将其换成了 WBTC 和 DAI 等资产。 虽然未被证实,但消息传出后,COVER 价格一度下跌暴跌 50%,从 800 美元下跌至 370 美元左右。 社群中,也有不少投资者认为这只是谣言,在 400 美元附近开始逐步抄底。然而,没过多久,不少用户发现 COVER 在一些去中心化交易中的价格开始狂跌,其中以 Uniswap 和 SushiSwap 为主,价格一度跌至 20 美元一线,近乎归零,相较于今日开盘价暴跌超过 90%。 区块浏览器显示,目前 Cover Protocol 原生代币 COVER 的总量已被增发至 40,796,131,214,802,600,000 个(4000京个,基本等于无限增发),一个标签为 Grap Finance 的地址增发了这些代币,并在 DEX 中持续抛售。 这些增发的「假币」从何而来? 根据多方信息整理,Odaily星球日报总结黑客攻击过程如下,其中涉及两波黑客: 第一波黑客首先自己构造假币(合约地址1),然后将假币拿去 Balancer 做流动性换取 bpt(合约地址2),然后拿着假币的 bpt 去做了质押(合约地址3),之后再解压换得真币 COVER(合约地址4);如此反复,黑客总共获得 11000 多个 COVER 真币,最终套现获利。 该攻击者的地址创建于两天前,初始资金约 200 ETH,目前该地址资产超过 1400 ETH和 100 万美元其他代币。该地址在 Etherscan 上已被打上了 CoverExploiter1(Cover剥削者1)的标签。 第二波则是利用 Cover Protocol 奖励合约中一个名为「无限挖矿 BUG」的漏洞,增发了 40 万亿个 Cover;由于同出一个智能合约,这些币也被交易平台误认为是「真币」;黑客通过 Uniswap 等 DEX 进行批量套现,据 DeFi 开发者@banteg表示,攻击者最终获益超过兑现了 4374 枚ETH,约合 320 万美金。 目前第一波黑客身份不明,但第二波增发的黑客地址,被网络标记为 Grap Finance 开发者的地址。在获利后,该攻击者将所得收益还给了 Cover 团队,销毁了剩余增发的 COVER ,并给 Yield Farming 保险地址(Cover 协议的前身)留言:下一次,管好你自己的事。 “果然,grap.finance 的创始人是一位 DeFi 义侠,刚刷了一下,4350 个 eth 已经打给了 cover 团队。 ”加密 KOL「超级比特币」评价说。 听起来不图名不图利,COVER 攻击者似乎是一名正义的「白帽子」。但通过砸盘,让众多的投资者血本无归,这样的“侠义精神”真的值得提倡吗? 目前,YFI 创始人 Andre Cronje 尚未对此事发表任何评论,Cover Protocol 也并未给出事故解释。攻击事件发生后,币安等中心化交易所第一时间暂停了 COVER 充提。 二、DeFi 无险可保 COVER 并不是今年第一个被攻击的 DeFi 项目。 北京时间 12 月 14 日下午,DeFi 保险龙头项目 Nexus Mutual 创始人 Hugh Karp 账户遭遇黑客攻击,被盗 37 万 NXM(833 万美金)。黑客先是…