9月15日,PeckShield「派盾」预警显示,以太坊上的去中心化交易所 Nowswap 遭到闪电贷攻击,攻击者掏空了 Nowswap 的流动资金池。
Nowswap 的流动资金池规模从 1,069,197 美元缩至 24.15 美元,据悉 Nowswap 仅提供 ETH-USDT 交易对。攻击者获利 53.6万 USDT 和 158 WETH,合计 100 多万美元。
PeckShield「派盾」分析发现,攻击者利用 Nowswap USDT/WETH 交易对合约中的 K 值验证漏洞,进行多次兑换,每次兑换获得正常应得兑出资产的多倍,直至将交易对池子中的资产薅光。
攻击者将所获 53.6万 USDT 通过去中心化交易所 1inch 兑换为 ETH,并转入去中心化隐私服务器 TornadoCash 进行进一步清洗。
整个攻击到转入 TornadoCash 洗白,再到攻击被发现的几小时内,社区没有一点响应。
这是一场精心策划的内部作案还是一次偶然的攻击?种种迹象令人生疑。
1. 攻击者共进行 60 次操作,每次操作都包含精准的债务计算,这需要研究团队花费一定的时间才能做到恰好掏空整个池子;
2. 项目热度过于低,一般很难令人注意到,且仅支持「有价的」ETH-USDT 交易对;
3. 项目代码未开源。
在 DeFi 资产规模快速增长至逾 1,700 万美元以后,开发人员陷入了激烈的竞争,贪婪也开始与日俱增,老鼠仓、内部作恶、内外勾结…….台面下的交易还能在匿名斗篷下维持多长时间?(PeckShield)