CertiK：闪电贷攻击频发，带你回顾BT.Finance遭受攻击事件始末

CertiK：闪电贷攻击频发，带你回顾BT.Finance遭受攻击事件始末

CertiK

2021-02-10 05:48

本文约984字，阅读全文需要约4分钟

闪电贷攻击频发，CertiK带你回顾BT.Finance遭受攻击事件。

2020年，闪电贷攻击频发，成为安全事故中的“新常态”。

2021年，对于黑客来说，闪电贷攻击看起来依旧是“盛宠不衰”。

北京时间2月9日，CertiK安全技术团队发现智能DeFi收益聚合器BT.Finance遭受黑客攻击。

BT.Finance已暂时停止了向Curve.fi存款，以防止再次被攻击。受攻击的策略包括ETH、USDC和USDT，其他策略不受影响。

BT.Finance表示，有用于保险和赔偿的管理资金，为了投资者和DeFi的良好发展，希望黑客能够将资金归还。

此外，BT.Finance提款费用保护使这次攻击的损失减少了近14万美元。ICO Analytics 对此表示，受影响资金约为150万美元。

CertiK安全技术团队立即展开分析，现将攻击流程细节分析如下：

攻击者首先从 dydx 中使用闪电贷借出约100000个ETH。
攻击者将大约57000个ETH存到 Curve sETH池中。
攻击者从 Curve sETH池中取出sETH，由于存入了大量的ETH，导致sETH的价格上升，此时攻击者取出了约35000个sETH。
攻击者将大约4340个ETH存入bt.finance ETH策略池中。
攻击者调用earn函数。
攻击者将步骤3中取出的sETH全部存入Curve sETH池中并取出ETH，最后触发 bt.finance ETH策略池的withdraw函数，取出全部存入该池中的ETH。
重复上述 2-5 步骤 5 次，并归还闪电贷，完成获利。