9月15日,PeckShield「派盾」預警顯示,以太坊上的去中心化交易所 Nowswap 遭到閃電貸攻擊,攻擊者掏空了 Nowswap 的流動資金池。
Nowswap 的流動資金池規模從 1,069,197 美元縮至 24.15 美元,據悉 Nowswap 僅提供 ETH-USDT 交易對。攻擊者獲利 53.6萬 USDT 和 158 WETH,合計 100 多萬美元。
PeckShield「派盾」分析發現,攻擊者利用 Nowswap USDT/WETH 交易對合約中的 K 值驗證漏洞,進行多次兌換,每次兌換獲得正常應得兌出資產的多倍,直至將交易對池子中的資產薅光。
攻擊者將所獲 53.6萬 USDT 通過去中心化交易所 1inch 兌換為 ETH,並轉入去中心化隱私服務器 TornadoCash 進行進一步清洗。
整個攻擊到轉入 TornadoCash 洗白,再到攻擊被發現的幾小時內,社區沒有一點響應。
這是一場精心策劃的內部作案還是一次偶然的攻擊?種種跡象令人生疑。
1. 攻擊者共進行 60 次操作,每次操作都包含精準的債務計算,這需要研究團隊花費一定的時間才能做到恰好掏空整個池子;
2. 項目熱度過於低,一般很難令人注意到,且僅支持「有價的」ETH-USDT 交易對;
3. 項目代碼未開源。
在 DeFi 資產規模快速增長至逾 1,700 萬美元以後,開發人員陷入了激烈的競爭,貪婪也開始與日俱增,老鼠倉、內部作惡、內外勾結…….檯面下的交易還能在匿名斗篷下維持多長時間?
本文鏈接:https://www.8btc.com/article/6686800
轉載請註明文章出處