攻擊者凈賺35萬美元，DeFi不僅可以不道德套利，還有中心化問題？_TOR:torn幣最新消息報道

一個“聰明的”交易者通過去中心化金融領域的各種協議，凈賺了35萬美元的巨額收益。

一套聰明的指令——所有指令都在一筆大額交易中執行——使某些人能夠利用DeFi生態系統當前的弱點來獲利。通過使用一些去中心化的金融工具和少量的價格操縱，他們能夠獲得大量的以太坊。

DeFi投資公司StakeCapital的創始人JulienBouteloup說明了這個多層次的交易是多么復雜。他大致描述了所發生的事情。

Tornado Cash攻擊者發布一項恢復治理的新提案:5月22日消息，Tornado Cash 社區成員 Tornadosaurus-Hex 在論壇中表示，Tornado Cash 攻擊者發布了一項恢復治理的新提案，并且很有可能會執行它，他在惡意提案中給自己的 TORN 作為 lockedBalance-s，并將其重置為 0。如果提案通過，攻擊者集成到協議中的惡意代碼將被刪除，代幣持有者將重新控制 Tornado Cash 的 DAO 治理權。Tornadosaurus-Hex 表示，他或者其他人需要提出一個提案來更新治理合約。Tornadosaurus-Hex 已經準備好修復邏輯，但需要驗證存儲布局，以便代理升級不會破壞合約。

鑒于攻擊者持有 TORN 治理代幣，該提案似乎將在 5 月 26 日投票結束時獲得通過，但尚不清楚該行動何時執行。當提案通過時，攻擊者集成到協議中的惡意代碼（允許他們從他人那里竊取投票權）將被刪除，Tornado Cash 的 DAO 的治理權將交還給代幣持有者。[2023/5/22 15:17:57]

他指出，1萬以太坊的閃電貸可能是問題所在。其中一半資金進入了借貸平臺Compound，用于wrappedBTC（以太坊上的比特幣)。剩下的是做空的抵押品——認為價格會下跌——即wBTC在保證金交易平臺Fulcrum上的交易。該賬戶隨后將wBTC出售給了去中心化交易所Uniswap。價格下跌了，于是黑客套現獲利，償還了最初的貸款。

創意攻擊者向以太坊地址空投UniH以竊取RUNE代幣:創意攻擊者正在加密空間中執行一種罕見的攻擊類型。據悉，攻擊者向至少76,000個以太坊地址空投UniH代幣。目的是讓接收者看到這些免費代幣并嘗試在去中心化交易所出售它們。但是這些代幣帶有惡意合約，一旦收幣人出售了他們新收到的UniH代幣（甚至只是批準出售），那么犯罪者將可以竊取他們錢包中擁有的任何RUNE代幣。迄今為止，該攻擊已竊取了76,000美元的代幣，而且僅僅持續了幾個小時。（The Block）[2021/7/24 1:12:15]

但是，這個黑客告訴了人們各種DeFi工具如何一起使用，以獲得不道德的利潤，他或她還強調了這些DeFi工具的中心化程度。

慢霧：攻擊者系通過“supply()”函數重入Lendf.Me合約 實現重入攻擊:慢霧安全團隊發文跟進“DeFi平臺Lendf.Me被黑”一事的具體原因及防御建議。文章分析稱，通過將交易放在bloxy.info上查看完整交易流程，可發現攻擊者對Lendf.Me進行了兩次“supply()”函數的調用，但是這兩次調用都是獨立的，并不是在前一筆“supply()”函數中再次調用“supply()”函數。緊接著，在第二次“supply()”函數的調用過程中，攻擊者在他自己的合約中對Lendf.Me的“withdraw()”函數發起調用，最終提現。慢霧安全團隊表示，不難分析出，攻擊者的“withdraw()”調用是發生在transferFrom函數中，也就是在Lendf.Me通過transferFrom調用用戶的“tokensToSend()”鉤子函數的時候調用的。很明顯，攻擊者通過“supply()”函數重入了Lendf.Me合約，造成了重入攻擊。[2020/4/19]

Fulcrum使用“管理密鑰”

昨天，維護Fulcrum協議的bZx發布了最新情況。該公司聲稱，其平臺上的用戶無一損失。

“用戶損失的資金為零。針對我們協議的攻擊昨晚出現了大量的報道。從協議的角度來看，有人只是借了一筆錢。從貸款人的角度來看，這筆貸款和其他貸款一樣。”

該平臺還表示，攻擊者在交易所留下了60萬美元的wBTC。他們計劃把這些錢分發給交易所的其他用戶。

但是，要做到這一點，平臺需要使用它的“管理密鑰”。

“目前攻擊者留下了60萬wBTC抵押品。我們將利用這些資金向現有的iETH持有者提供利息和流動性。這將通過我們的管理密鑰完成。這對我們來說是一個非常困難的決定，我們不能掉以輕心。”

從本質上講，這個管理密鑰很難嵌入到協議中，其允許bZx在不得已的情況下控制任何智能合約。管理密鑰的目的正是為了某些情況，即系統出現了問題，同時其中包含了大量的資金。

但是，管理密鑰證明了中心故障點的存在，用戶必須信任交易背后的團隊，相信他們不會偷走所有人的錢。考慮到DeFi的目標就是消除這種信任，這似乎是一個相當大的弱點。

DeFi協議希望有一個安全保障機制，這并不奇怪。以太坊最大的實驗項目——TheDAO——曾經持有14%的以太坊——由于代碼錯誤而失敗了。結果，整個以太坊區塊鏈被重寫，這樣每個人都能拿回他們的錢。但此舉破壞了網絡，招致了很多批評。

這一次，Fulcrum將使用它的管理密鑰來節省時間，但是，此舉徹底暴露了其中心化的本質，它產生的問題比答案更多。

Tags：ORNTORTORNADOtorn幣最新消息報道TorumTORN價格DATADOGE

BNB價格