本周第四起攻擊事件：Belt Finance遭攻擊過程解析_USD

原文標題：《BeltFinance遭閃電貸攻擊，ForkCurve的潘多拉魔盒已打開？

北京時間5月30日，PeckShield「派盾」預警顯示，BSC鏈上結合多策略收益優化的AMM協議BeltFinance遭到閃電貸攻擊。

PeckShield「派盾」通過追蹤和分析發現，此次攻擊源于攻擊者通過重復買入賣出BUSD，利用bEllipsisBUSD策略余額計算中的漏洞操縱beltBUSD的價格進行獲利。

有意思的是，Ellipsis是以太坊上DeFi協議Curve授權Fork的項目，從以往與Curve相關的攻擊來看，潘多拉的盒子是否再次被打開？

馬斯克與Twitter將在本周綜合聆訊上交鋒:金色財經消息，負責審理馬斯克和推特(TWTR.N)之間訴訟的特拉華州法官安排在本周舉行一次聆訊，就一系列問題進行口頭陳述，其中包括馬斯克修改其反訴的要求。法官Kathaleen McCormick在上周五的一份文件中說，她將考慮雙方提出的幾項懸而未決的法律動議，例如，馬斯克最近要求將Twitter前安全主管Pieter Zatko的舉報人投訴中的指控加入到他的反訴中。馬斯克還要求將為期五天的無陪審團審判從今年10月推到11月。(金十)[2022/9/6 13:10:23]

以下是攻擊過程：

Roger Ver本周末將就其與CoinFLEX的4700萬美元債務糾紛發表聲明:7月1日消息，Bitcoin com創始人Roger Ver表示，他將在周一之前發布一份官方聲明，回應有關其欠CoinFLEX價值4700萬美元USDC的指控。Roger Ver的行政助理Mickey Amami稱，聲明將在本周末發布。Ver拒絕就聲明的細節置評，但表示與自己周三上午發布的一條推文立場一致。

此前消息，加密交易所CoinFLEX首席執行官Mark Lamb發推表示，Bitcoin com創始人Roger Ver欠CoinFLEX價值4700萬美元的USDC。Lamb稱，我們與Roger Ver簽訂了書面合同，要求他親自擔保其CoinFLEX賬戶的任何負資產并定期補足保證金。但他其違反了本協議，CoinFLEX已向Roger Ver發出違約通知。

Roger Ver在推特上對此進行了回應，稱其拖欠債務是謠言。Roger Ver稱：“我不僅沒有欠這個交易對手一筆債務，而且這個交易對手還欠我一大筆錢，我現在正在要求返還我的資金。 （Forkast）[2022/7/1 1:44:17]

58COIN將于本周上線“150倍杠桿”“首頁改版”“K線區優化”等功能服務:據58COIN官方公告，其將于本周上線“150倍杠桿”“首頁改版”“開倉優化”“K線區優化”等系列功能與服務。其中150倍杠桿僅支持四大合約內的比特幣品類，首頁改版僅涉及移動端。此外，其開倉體驗、K線區均應用戶訴求做了適應性調整，OTC支付、提現進一步優化。詳情見原文鏈接。[2020/4/13]

第一步，攻擊者從PancakeSwap中借出8筆閃電貸：

FLIPWBNB-BUSD:107,736,995.2BUSD?

FLIPUSDC-BUSD:38,227,899.2BUSD?

FLIPBUSDT-BUSD:153,621,552.7BUSD?

FLIPDAI-BUSD:31,372,406.8BUSD?

FLIPUST-BUSD:17,505,135.1BUSD?

FLIPVAI-BUSD:17,294,888.2BUSD?

FLIPALPACA-BUSD:10,828,766.5BUSD?

FLIPCAKE-BUSD:10,728,353.2BUSD?

將其中1千萬BUSD存入bEllipsisBUSD策略中；

第二步，將1.87億BUSD存入bVenusBUSD策略，再通過Ellipsis合約將1.9億BUSD兌換為1.69億USDT；

重復7次提-換-充的操作：攻擊者從策略bVenusBUSD中提取更多BUSD，通過Ellipsis合約將1.9億BUSD兌換為1.69億USDT，將BUSD存入bVenusBUSD策略；

由于beltBUSD的價格依賴于所有機槍池余額的總和，攻擊者將BUSD存入bVenusBUSD策略，再提出BUSD，理論上，由于資產的數量不變，即使攻擊者重復多次操作，也不會獲利。但是，如果操縱其他策略的話，beltBUSD的價格就會受到影響。

在此攻擊中，攻擊者通過多次買入賣出BUSD，再利用bEllipsis策略余額計算中的漏洞，操縱了價格。

隨后，攻擊者通過Nerve跨鏈橋將所獲資產分批次轉換為ETH，PeckShield「派盾」旗下反洗錢態勢感知系統CoinHolmes將持續監控資產的異動。

這已經是本周以來，在BSC鏈上出現的第四起安全事件。這一周，我們預警和分析了ForkPancakeBunny和Uniswap的安全事件，BSC鏈上的攻擊呈現出加速、增長的趨勢，以太坊DeFi攻擊者再次出擊還是新的模仿犯已經涌現？

當攻擊加速出現，整個DeFi領域的安全基礎都值得重新審視，攻擊者盯上的絕不止一顆新星。PeckShield「派盾」提示ForkCurve的DeFi協議務必自查代碼，排除類似漏洞，或尋求專業代碼審計團隊的幫助，莫到損失方恨晚。

Tags：USDBUSDOINCOINUSDRCZBUSDEDRA COINcoinweb交易所合法嗎

USDC