烤仔的朋友們 | 從 COVER 到 OVER,攻擊事件復盤
2021-07-26 20:50:38 次浏览
火幣網(huobi.com)最新可用網址(點擊下圖直達註冊!)
火必交易所,曾经的火币交易所!
欧易OKX三大交易所,稳定好用!
币安全球第一大交易所!安全!
有些 DeFi 項目如果出現問題,可以通過保險挽回損失。但如果保險公司被攻擊瞭,又該怎麼辦?
今天晚上,DeFi 保險項目 Cover Protocol 遭遇黑客攻擊,導致代幣增發超過萬億枚。黑客先後在 SuShiSwap、Uniswap 等 DEX 上進行套現,直接導致代幣 COVER 價格從 800 美元暴跌超過 90%,截至發稿前 Uniswap 上 Cover 暫報 23 美元。
事件發生後,okex、抹茶等中心化交易所第一時間關閉 Cover 充提,幣安方面暫停 Cover 交易。
歐科雲鏈OKLink數據顯示,攻擊也導致 Cover Protocol 的總鎖倉量短時出現大幅下降,當前Cover 總鎖倉量約合 3112 萬美元,降幅達 31.17%。
今年 11 月 28日,Cover Protocol 與 Yearn Finance(YFI) 進行合並。截至發稿前,Yearn Finance 的核心開發人員 Banteg 表示,他們正在調查此問題,
Cover Protocol 官方團隊也勸告投資者不要再次購買 COVER。
今晚 18 點,
推特用戶 CryptoKebab
表示,Cover 疑似遭到黑客攻擊,增發瞭 1 萬枚 COVER 代幣,並且已將其換成瞭 WBTC 和 DAI 等資產。
雖然未被證實,但消息傳出後,COVER 價格一度下跌暴跌 50%,從 800 美元下跌至 370 美元左右。
社群中,也有不少投資者認為這隻是謠言,在 400 美元附近開始逐步抄底。然而,沒過多久,不少用戶發現 COVER 在一些去中心化交易中的價格開始狂跌,其中以 Uniswap 和 SushiSwap 為主,價格一度跌至 20 美元一線,近乎歸零,相較於今日開盤價暴跌超過 90%。
區塊瀏覽器顯示,目前 Cover Protocol 原生代幣 COVER 的總量已被增發至 40,796,131,214,802,600,000 個(4000京個,基本等於無限增發),一個標簽為 Grap Finance 的地址增發瞭這些代幣,並在 DEX 中持續拋售。
根據多方信息整理,總結黑客攻擊過程如下,其中涉及兩波黑客:
第一波黑客首先自己構造假幣(合約地址1),然後將假幣拿去 Balancer 做流動性換取 bpt(合約地址2),然後拿著假幣的 bpt 去做瞭質押(合約地址3),之後再解壓換得真幣 COVER(合約地址4);如此反復,黑客總共獲得 11000 多個 COVER 真幣,最終套現獲利。
該攻擊者的地址創建於兩天前,初始資金約 200 ETH,目前該地址資產超過 1400 ETH和 100 萬美元其他代幣。該地址在 Etherscan 上已被打上瞭 CoverExploiter1(Cover剝削者1)的標簽。
第二波則是利用 Cover Protocol 獎勵合約中一個名為“無限挖礦 BUG”的漏洞,增發瞭 40 萬億個 Cover;由於同出一個智能合約,這些幣也被交易平臺誤認為是“真幣”;黑客通過 Uniswap 等 DEX 進行批量套現,據 DeFi 開發者@banteg表示,攻擊者最終獲益超過兌現瞭 4374 枚ETH,約合 320 萬美金。
目前第一波黑客身份不明,但第二波增發的黑客地址,被網絡標記為 Grap Finance 開發者的地址。在獲利後,該攻擊者將所得收益還給瞭 Cover 團隊,銷毀瞭剩餘增發的 COVER ,並給
Yield Farming 保險地址
(Cover 協議的前身)留言:下一次,管好你自己的事。
“果然,grap.finance 的創始人是一位 DeFi 義俠,剛刷瞭一下,4350 個 eth 已經打給瞭 cover 團隊。”加密 KOL“超級比特幣”評價說。
聽起來不圖名不圖利,COVER 攻擊者似乎是一名正義的“白帽子”。但通過砸盤,讓眾多的投資者血本無歸,這樣的“俠義精神”真的值得提倡嗎?
目前,YFI 創始人 Andre Cronje 尚未對此事發表任何評論,Cover Protocol 也並未給出事故解釋。攻擊事件發生後,幣安等中心化交易所第一時間暫停瞭 COVER 充提。
COVER 並不是今年第一個被攻擊的 DeFi 項目。
北京時間 12 月 14 日下午,DeFi 保險龍頭項目 Nexus Mutual 創始人 Hugh Karp 賬戶遭遇黑客攻擊,被盜 37 萬 NXM(833 萬美金)。黑客先是在 1inch 上出售 102000 NXM,在 Matcha 出售16000 NXM。隨後 Nexus Mutual 官方稱,黑客地址又通過 1inch 賣出瞭約3.5 萬枚 WNXM。
根據官方披露細節, 攻擊者通過獲得 Hugh Karp 個人計算機的遠程控制後,對計算機上使用的 Metamask 插件進行修改, 並誤導其簽署圖一中的交易——這筆交易最終將巨額代幣轉移到攻擊者的賬戶中。
對於 DeFi 保險項目而言,初衷是為其他 DeFi 項目降低風險損失。本來就被黑客覬覦,理應加強安全防護。如今卻由於自身漏洞被黑客屢屢攻擊,遭受損失,這樣的保險項目真的能幫助用戶抵禦風險嗎?
既然在 DeFi 的世界中,崇尚“代碼即法律”(Code is Law),那就把代碼做好,做到極致,不給黑客留下任何可乘之機。
最後,希望 DeFi 的發展越來越好,漏洞事件越來越少。
作者:,來源:Conflux中文社區
