副題
#1 イベント概要
Dego Financeは持続可能で実用的なNFTエコシステムの構築を目的として2020年9月に発足し、NFT+DeFiプラットフォームを構築したと報告されています。 DeFiの世界ではDEGOはレゴに相当すると言う人もいます。各 DeFi プロトコルを、安定通貨 (DAI)、融資 (Aave、Compound)、分散型取引所 DEX (Uniswap および Balancer)、デリバティブ (Synthetix)、保険 (Nexus Mutual) などを含むレンガとして扱います。
2月10日、Dego Financeの公式Twitterは、Dego Financeがハッキングされたと発表し、DeFi世界のレゴはまさに「崩壊」した!
副題
#2 イベント固有の分析
ETHチェーンへの攻撃を例として、Degoプロジェクト当事者のアドレスの1つの資金の流れを詳細に分析しました。
まず、プロジェクト関係者の秘密鍵が流出したDEGO.Finance:Deployerのアドレスは以下の通りです。
0x20FE4B1eD95911487499e53355BB8f14a881D735
攻撃者のアドレスは次のとおりです。
0x118203B0f2A3ef9e749D871C8fEF5e5e55ef5C91
1 攻撃者は、秘密キーを介して、592,582.35 個の dego トークンを DEGO.Finance: Deployer アカウントと minter 権限を持つ 0x118 アカウントに鋳造しました。
2 その後、ETH-dego 取引プールの流動性は削除されます。
3 攻撃者は、DEGO.Finance: Deployer アカウントを通じて流動性を引き出し、269,502 の dego トークンと 378 ETH を取得しました。
4 次に、DEGO.Finance: Deployer アカウントから取得した 378 ETH を 0x118 アドレスに転送します。
同時に、ハッカーは、もともとプロジェクト当事者のアドレスに属していた 441 yvWETH を 0x118 アドレスに転送しました。
この時点で、利益は 750.37 ETH (371.6+378.75) と、0x118 アカウントから送金された 7.10 ETH の合計 757.4 です。
現時点では、イーサリアム チェーン上で、攻撃者は 441 yv WETH をアドレス 0x118 の Zapper.Fi: Yearn yVault Zap Out に転送し、445 ETH を交換して合計 1202 ETH を取得し、Tornado.Cash: Proxy 400 ETH に転送しました。 。 202 ETH をアドレス 0x47a344588653efA88eB6D58433B6A2A5E202D65d に転送します。
Cronos チェーンでは、196256.7 USDT と 199401.9 USD Coin がアドレス 0x118 で取得されましたが、まだ転送されていません。
BSC チェーンでは、3736.17 BNB を取得し、トークン交換を通じて 9188 BNB を取得します。 12,741 BNB がアドレス 0x47a344588653efA88eB6D58433B6A2A5E202D65d に転送されました。
3つのチェーン上の0x118アドレスの総額は約1762万7676ドルで、現在原因を調査し損失の回復に努めていると関係者は述べた。
DeFiの継続的な発展に伴い、DeFiプロジェクトのセキュリティ問題はますます緊急性を増しています。従来の金融と比較すると、DeFiの最下層は本質的にプログラムであるスマートコントラクトに依存しており、プログラムは従来の金融と比べて比類のない効率性と利便性を備えていますが、従来の金融では考慮する必要のないコードの抜け穴もあります。したがって、成都聯南市は、スマートコントラクトや監査報告書を公開していないプロジェクトには警戒し、プロジェクト当事者はプロジェクトに損害を与える秘密鍵の漏洩を避ける必要があると勧告している。
純粋な乾物シェアリング (1) | DEFI セキュリティ問題の基礎
