據CertiK安全技術團隊信息顯示,北京時間2月9日,智能DeFi收益聚合器BT.Finance遭受黑客攻擊。黑客通過閃電貸獲得攻擊啟動資金,整個攻擊流程如下: 1. 攻擊者首先從dydx中使用閃電貸借出約100000個ETH。 2. 攻擊者將藉出的ETH存到Curve sETH池中。 3. 攻擊者從Curve池中取出一定量的ETH。 4. 攻擊者調用earn函數,將ETH存入Curve sETH池中,同時bt.finance ETH策略池將獲得一定量的eCRV 代幣。 5. 攻擊者觸發bt.finance ETH 策略池的withdraw 函數,取出全部存入池中的ETH。 6. 重複上述2-5 步驟5 次,並歸還閃電貸,完成獲利。