USD:邏輯漏洞連環擊 攻擊者盯上了 Eleven Finance 這塊羊毛地

北京時間6月23日，PeckShield「派盾」預警顯示，BSC鏈上收益聚合器ElevenFinance中與Nerve相關的機槍池遭到閃電貸攻擊。

PeckShield「派盾」通過追蹤和分析發現，此次攻擊源于ElevenFinance的Emergencyburn()計算余額錯誤，且未執行銷毀機制，攻擊者獲利近460萬美元。?

有趣的是，幾個小時后，昨天剛從ImpossibleFinance薅得近50萬美元的攻擊者，利用ElevenFinance的漏洞，通過閃電貸攻擊獲利近52萬美元。

聲音 | 劉昌用：澳本聰說自己是中本聰 一些基本的邏輯講不通:知密大學發起人劉昌用發微博總結澳本聰是騙子的簡單邏輯，澳本聰（CSW）說自己是中本聰，一些基本的邏輯講不通： 1. 中本聰害怕身份泄露選擇維基解密事件后隱退，CSW絞盡腦汁向公眾證明自己是中本聰； 2. CSW自稱中本聰，卻說拿出早期私鑰簽名非常危險，而讓公眾確信自己是中本聰跟公布私鑰簽名是同等危險的； 3. 中本聰在密碼朋克郵件列表中發布比特幣白皮書，意圖替代法幣，削弱政府權力，隱退也是擔心政府危害，而CSW申請專利、起訴質疑者、批評密碼朋克精神、自稱國安有人，更像政府雇員。 這幾個邏輯不講清楚，編再多故事，偽造再多證據，都騙不了明白人。[2019/4/19]

第一個攻擊者創建了4個合約，進行了5次攻擊。

現場 | 民生保險健康險事業部總經理程羽：分布式商業邏輯支撐創新成功的可能性變大:金色財經現場報道，在今日萬向區塊鏈實驗室舉辦的2018區塊鏈·新經濟第四屆區塊鏈全球峰會上，民生保險健康險事業部總經理、萬向區塊鏈分布式商業創新咨詢合伙人程羽提到，傳統保險產品是基于線下代理人銷售保險產品的需求設計的，并不符合線上銷售形態的要求。內含價值較高的重疾險等業務，依然集中在個險渠道、代理人等線下渠道上。隨著BAT為代表的互聯網流量巨頭加入，第一階段互聯網保險(基于渠道的場景創新)創新接近尾聲，互聯網業務渠道占去大半利潤，但傳統保險認知門檻高的核心痛點并沒有在本輪互聯網保險場景創新中被解決。因此，互聯網保險下一階段創新的重點是將在保險產品形態上進行優化。她認為，分布式商業邏輯支撐創新成功的可能性變大，需要良好的機制設計，她的團隊目前正在使用匿名數據交換聯盟的系統架構。她還認為，區塊鏈技術創新帶來思維模式的革命，可以用來指引其他技術和業務創新。[2018/9/12]

PeckShield以合約0x8b29為例簡述攻擊過程：

金色相對論| 覃文延：區塊鏈通過重構產業價值網絡進而重構產業邏輯:在本期金色相對論中，北美區塊鏈基金會主席、核聚鏈創始人覃文延表示：區塊鏈這次和以往的大的技術浪潮不一樣，區塊鏈的應用不單單是技術，它對產業的影響非常深遠，已經不再停留再一個概念的層面，而是通過給產業重構價值網絡進而從根本上重構產業邏輯。區塊鏈與人工智能，物聯網，大數據還有傳統高科技的結合所產生的創新點是無窮的。各行各業都不可避免。區塊鏈技術的突破點其實很多，去中心化的價值引擎，交易引擎，風控引擎，底層區塊鏈通訊協議等等都是技術突破口。比如區塊鏈和人工智能的結合，區塊鏈的技術有一個很重要的特征就是分布式容錯系統，避免單點災難的出現，所謂的拜占庭將軍算法問題，應用在人工智能領域就能把現在的單節點人工智能瞬間提升到一個多節點分布式人工智能的領域，大大擴展了傳統AI的應用，一個世界冠軍和機器的 AlphaGO（也可能是一個機器集群，但還是一個單一獨立邏輯）下棋可能機器會贏，但是如果一個世界冠軍個一千臺獨立思考的機器下棋，情況就不一定了，因為一千臺獨立的AlphaGO要達成統一不容易。[2018/9/7]

首先，攻擊者從PancakeSwap中借出953,869.6BUSD，并將其中340,631.2BUSD兌換474,387.75NRV；

隨后，攻擊者將474,378.75Nerve和366,962BUSD在PancakeSwap中添加流動性，獲得411,515.3LPtoken；

攻擊者將411,515.3LPtoken放入ElevenFinance中與Nerve相關的機槍池獲得411,515.311nrvbusdLPtoken；

當攻擊者提取PancakeLPtoken時，ElevenNeverSellVault中的Emergencyburn()函數本應銷毀11nrvbusdLPtoken換回PancakeLPtoken，但Emergencyburn()并未執行burn這個動作，使得攻擊者利用此邏輯錯誤獲利。

該攻擊者又創建了0x01ea合約，借出30.9BTCB；0xc0ef合約借出285.66ETH以及0x87E9借出兩筆閃電貸2,411,889.87BUSD和7,693BUSD進行攻擊。

攻擊者通過利用集成的第三方合約功能進行攻擊，這類問題較難檢測到，例如，此前PeckShield「派盾」幫助RariCapital避免更大損失案例一樣，在定位漏洞根源時，由于合約交互容易干擾安全人員的判斷，PeckShield「派盾」建議，開發人員應謹慎與任意第三方協議進行交互。

DeFi協議開發人員在集成第三方協議并將其部署到生產運行之前，應充分了解合約及其分支項目的運行情況。DeFi協議開發人員應在項目上線前，先將其部署在測試網上進行測試并及時檢查交易記錄中的異常情況。

“太快了，攻擊者從合約部署，到完成攻擊，甚至到再次發起攻擊，這一系列操作有時候快得讓人有些反應不過來。”PeckShield「派盾」安全人員表示，“因此，事前審計，事中響應，事后提出及時有效的安全方案都是缺一不可的，誰都不知道攻擊者會不會在下一秒發起攻擊。”

Tags：區塊鏈ANCBUSDUSD玩區塊鏈掙的錢合法嗎YFS.FinanceEBUSD價格busd幣歷史最高價

AAVE