9月15日,PeckShield「派盾」預警顯示,以太坊上的去中心化交易所Nowswap 遭到閃電貸攻擊,攻擊者掏空了Nowswap 的流動資金池。
Nowswap 的流動資金池規模從1,069,197 美元縮至24.15 美元,據悉Nowswap 僅提供ETH-USDT 交易對。攻擊者獲利53.6萬USDT 和158 WETH,合計100 多萬美元。
PeckShield「派盾」分析發現,攻擊者利用Nowswap USDT/WETH 交易對合約中的K 值驗證漏洞,進行多次兌換,每次兌換獲得正常應得兌出資產的多倍,直至將交易對池子中的資產薅光。
攻擊者將所獲53.6萬USDT 通過去中心化交易所1inch 兌換為ETH,並轉入去中心化隱私服務器TornadoCash 進行進一步清洗。
整個攻擊到轉入TornadoCash 洗白,再到攻擊被發現的幾小時內,社區沒有一點響應。
這是一場精心策劃的內部作案還是一次偶然的攻擊?種種跡象令人生疑。
1. 攻擊者共進行60 次操作,每次操作都包含精準的債務計算,這需要研究團隊花費一定的時間才能做到恰好掏空整個池子;
2. 項目熱度過於低,一般很難令人注意到,且僅支持「有價的」ETH-USDT 交易對;
3. 項目代碼未開源。
在DeFi 資產規模快速增長至逾1,700 萬美元以後,開發人員陷入了激烈的競爭,貪婪也開始與日俱增,老鼠倉、內部作惡、內外勾結…….檯面下的交易還能在匿名斗篷下維持多長時間?
DYOR
PeckShield「派盾」提示,隨著DeFi 的熱度愈發增長,用戶在投資時不要盲目跟風,一定要做到Do your own research,最好不要碰熱度過於低、社區過於小的項目。