Belt Finance 遭闪电贷攻击损失逾 620 万美元，PeckShield 解析攻击细节

雍和比特币

继分叉 Uniswap 的 BurgerSwap 和 JulSwap 被进犯后，分叉 Curve 的 DeFi 协议也成为黑客的「提款机」。

原文标题：《Belt Finance 遭闪电贷进犯，Fork Curve 的潘多拉魔盒已翻开？》 撰文：PeckShield北京时间 5 月 30 日，PeckShield 「派盾」预警显现，BSC 链上结合多战略收益优化的 AMM 协议 Belt Finance 遭到闪电贷进犯。PeckShield 「派盾」经过追寻和剖析发现，此次进犯源于进犯者经过重复买入卖出 BUSD，使用 bEllipsisBUSD 战略余额核算中的缝隙操作 beltBUSD 的价格进行获利。有意思的是，Ellipsis 是以太坊上 DeFi 协议 Curve 授权 Fork 的项目，从以往与 Curve 相关的进犯来看，潘多拉的盒子是否再次被翻开？以下是进犯进程：第一步，进犯者从 PancakeSwap 中借出 8 笔闪电贷：

• FLIP WBNB-BUSD: 107,736,995.2 BUSD
• FLIP USDC-BUSD: 38,227,899.2 BUSD
• FLIP BUSDT-BUSD: 153,621,552.7 BUSD
• FLIP DAI-BUSD: 31,372,406.8 BUSD
• FLIP UST-BUSD: 17,505,135.1 BUSD
• FLIP VAI-BUSD: 17,294,888.2 BUSD
• FLIP ALPACA-BUSD: 10,828,766.5 BUSD
• FLIP CAKE-BUSD: 10,728,353.2 BUSD

将其间 1 千万 BUSD 存入 bEllipsisBUSD 战略中；第二步，将 1.87 亿 BUSD 存入 bVenusBUSD 战略，再经过 Ellipsis 合约将 1.9 亿 BUSD 兑换为 1.69 亿 USDT；重复 7 次提-换-充的操作：进犯者从战略 bVenusBUSD 中提取更多 BUSD，经过 Ellipsis 合约将 1.9 亿 BUSD 兑换为 1.69 亿 USDT，将 BUSD 存入 bVenusBUSD 战略；因为 beltBUSD 的价格依赖于一切机枪池余额的总和，进犯者将 BUSD 存入 bVenusBUSD 战略，再提出 BUSD，理论上，因为财物的数量不变，即便进犯者重复屡次操作，也不会获利。可是，假如操作其他战略的话，beltBUSD 的价格就会受到影响。在此进犯中，进犯者经过屡次买入卖出 BUSD，再使用 bEllipsis 战略余额核算中的缝隙，操作了价格。随后，进犯者经过 Nerve （Anyswap）跨链桥将所获财物分批次转换为 ETH，PeckShield 「派盾」旗下反洗钱态势感知体系 CoinHolmes 将继续监控财物的异动。这现已是本周以来，在 BSC 链上呈现的第四起安全事情。这一周，咱们预警和剖析了 Fork PancakeBunny 和 Uniswap 的安全事情，BSC 链上的进犯呈现出加快、增加的趋势，以太坊 DeFi 进犯者再次反击仍是新的仿照犯现已呈现？当进犯加快呈现，整个 DeFi 范畴的安全基础都值得从头审视，进犯者盯上的绝不止一颗新星。PeckShield「派盾」提示 Fork Curve 的 DeFi 协议必须自查代码，扫除相似缝隙，或寻求专业代码审计团队的协助，莫到丢失方恨晚。