据CertiK安全技术团队信息显示,北京时间2月9日,智能DeFi收益聚合器BT.Finance遭受黑客攻击。 黑客通过闪电贷获得攻击启动资金,整个攻击流程如下: 1. 攻击者首先从dydx中使用闪电贷借出约100000个ETH。 2. 攻击者将借出的ETH存到 Curve sETH池中。 3. 攻击者从Curve池中取出一定量的ETH。 4. 攻击者调用earn函数,将ETH存入Curve sETH池中,同时 bt.finance ETH策略池将获得一定量的 eCRV 代币。 5. 攻击者触发 bt.finance ETH 策略池的 withdraw 函数,取出全部存入池中的ETH。 6. 重复上述 2-5 步骤 5 次,并归还闪电贷,完成获利。