Belt Finance 是一種基于幣安智能鏈（BSC）的去中心化借貸協(xié)議，攻擊者通過(guò)智能合約開始對(duì) 4Belt BLP 池發(fā)起閃電貸攻擊。

　　據(jù)悉，攻擊方創(chuàng)建了一份使用 PancakeSwap 進(jìn)行閃電貸的智能合約，并利用 BeltBUSD 池及其底層策略協(xié)議先后對(duì)合約內(nèi)容執(zhí)行了 8 次，借此攫取了高達(dá) 6234753 BUSD 的收益。BeltBUSD 金庫(kù)用戶遭受 21.36% 的資金損失，而 4Belt 幣池用戶則遭受 5.51% 資金損失。

　　攻擊過(guò)程

　　據(jù) Belt Finance 團(tuán)隊(duì)介紹，攻擊者首先利用 PancakeSwap 中的漏洞獲得了總值 3.9 億 BUSD 的閃電貸額度，這已經(jīng)接近 PancakeSwap 上全部 BUSD 池所能提供的最大 BUSD 金額。之后，攻擊方將其中約 2 億 BUSD 存入 BeltBUSD 金庫(kù)（使用 Venus 策略協(xié)議），并借此極大提升了 Venus 策略的整體占比。

　　在攻擊活動(dòng)發(fā)生之前，BeltBUSD 金庫(kù)的協(xié)議比例為：Venus 約占 6000 萬(wàn) BUSD，Alpaca 占 6000 萬(wàn) BUSD，Ellipsis 占 6000 萬(wàn) BUSD，而 ForTube 約占 2000 萬(wàn) BUSD，總量約為 2 億 BUSD。但在吸納了攻擊者的存入之后，Venus 掌握了約 2.6 億 BUSD，也讓 BeltBUSD 的總儲(chǔ)量快速提升至 4 億左右。

　　攻擊者同時(shí)還將 1.9 億 BUSD 轉(zhuǎn)移至 Ellipsis.fi 3pool，并將這 1.9 億 BUSD 兌換為約 1.695 億 USDT。此次兌換令 Ellipsis 3pool LP 值在短時(shí)間內(nèi)猛增。3pool LP 的供應(yīng)關(guān)系雖然沒有改變，但這 2150 萬(wàn)美元的差值仍然令 3pool LP 快速增值約 3%。這又將 4Belt 池 Ellipsis 策略的幣值占比由 6000 萬(wàn) BUSD 增加至 6180 萬(wàn) BUSD，也讓整個(gè) BeltBUSD 金庫(kù)總值由 4 億 BUSD 增加至 4.018 億 BUSD（漲幅約 0.5%）。

　　在此之后，攻擊者開始從 BeltBUSD 金庫(kù)中提現(xiàn)離場(chǎng)，獲得了 2 億 BUSD 總額中約 0.5% 的存入收益，即約 100 萬(wàn) BUSD（進(jìn)場(chǎng)前 2 億 BUSD，離場(chǎng)時(shí) 2.01 億 BUSD）收益。接下來(lái)，攻擊方在 Ellipsis 上將 USDT 兌換回 BUSD，令 LP 重新回歸之前的正常值，而 BeltBUSD 金庫(kù)則因此憑空損失掉了這 100 萬(wàn) BUSD。

　　之后，攻擊者通過(guò)智能合約多次重復(fù)執(zhí)行這同一筆交易（由 Tx gas 允許的上限而定），去掉閃電貸費(fèi)用與 Ellipsis 掉期費(fèi)用外的即為最終實(shí)際獲利。接下來(lái)，攻擊者將 BUSD 形式的利潤(rùn)轉(zhuǎn)至自有地址并兌換為 anyETH，再使用 Nerve Bridge 將這筆 anyETH 發(fā)往以太坊主網(wǎng)。整個(gè)攻擊流程從 PancakeSwap 閃電貸開始，到向以太坊主見發(fā)送 anyETH 結(jié)束，前后共重復(fù)了 8 次。

　　解決方案

　　在使用 StrategyEllipsis 的情況下，Belt Finance 團(tuán)隊(duì)使用 isPoolSafe （ ） 限制發(fā)生價(jià)格缺口時(shí)的提現(xiàn)活動(dòng)。現(xiàn)在，面向各項(xiàng)策略，團(tuán)隊(duì)決定通過(guò)檢查 Ellipsis 的掉期狀態(tài)解決這一隱患。當(dāng) USDC、BUSD 與 USDT 之間存在比例偏差時(shí)，會(huì)限制用戶的提現(xiàn)與存入操作。如此一來(lái)，攻擊者將無(wú)法順利操縱 Ellipsis LP 價(jià)格。

在開發(fā)過(guò)程中，Belt Finance 團(tuán)隊(duì)添加了以下函數(shù)，以防止 Ellipsis Pool 值出現(xiàn)異常時(shí)被攻擊者所利用：

這里的 isPoolSafe 函數(shù)將通過(guò)衡量 Ellipsis 3pool 的代幣比率（即包含的最大與最低代幣數(shù)量間的比值）來(lái)檢查其健康狀況。此函數(shù)能夠防止 Belt 受到異常 StableWap AMM 比率的影響。

　　isPoolSafe 函數(shù)將在 _deposit （ ） 與 _withdraw （ ） 函數(shù)執(zhí)行之前與之后檢查池健康狀況，如果池比率發(fā)生偏差，則交易將被直接還原以防止語(yǔ)句的實(shí)際更新。如此，Belt Finance 團(tuán)隊(duì)就能有效防止 Ellipsis 策略受到閃電貸攻擊的影響。

　　通過(guò)使用 Ellipsis 掉期，攻擊者即可瞬時(shí)操縱 ellipsisSwap 合約中 BUSD、USDC 與 USDT 的比例，借此操縱 3pool LP 的價(jià)格。

　　在之前的設(shè)計(jì)中，Belt Finance 團(tuán)隊(duì)并沒有考慮到負(fù)責(zé)計(jì)算 Ellipsis 策略中 wantTotalLocked （ ） Ellipsis 3Pool 比率的 epsToWant （ ） （一項(xiàng) MultiToken 函數(shù)）被破壞并影響到其他策略存取交易的情況。這項(xiàng)函數(shù)只是與 Read 相關(guān)的接口，Belt Finance 團(tuán)隊(duì)表示沒有想到它會(huì)與閃電貸發(fā)生直接關(guān)聯(lián)。

　　結(jié)果，閃電貸導(dǎo)致 Ellipsis 策略中的 wantTotalLocked 值增加，MultiVault 則以高于實(shí)際資產(chǎn)量的值運(yùn)行了提取操作。此次攻擊活動(dòng)，在根本上利用的也正是這項(xiàng)漏洞。

　　黑客盯上 BSC

　　Belt Finance 只是 BSC 上被攻擊的項(xiàng)目之一。5 月份，PancakeBunny 遭受攻擊，損失了 300 萬(wàn)美元；類似的項(xiàng)目 Bogged Finance 也在閃電貸款攻擊中損失了幾乎相同的金額；Burgerswap 在一次閃電貸攻擊中損失 720 萬(wàn)美元。

　　“ 最近已經(jīng)接連發(fā)生超過(guò) 8 起針對(duì) BSC 鏈上項(xiàng)目的閃電貸攻擊，我們認(rèn)為現(xiàn)在有一個(gè)有組織的黑客團(tuán)隊(duì)盯上了 BSC?！盉SC 官方發(fā)文表示。The Block 數(shù)據(jù)顯示，因?yàn)榻诘暮诳凸羰录?，BSC 已有部分鎖倉(cāng)資金回流至以太坊，總鎖倉(cāng)量回落至 20 億美元。

　　因此，BSC 官方呼吁所有 DApp 采取如下措施進(jìn)行預(yù)防保護(hù)：

　　與審計(jì)公司合作進(jìn)行另一次健康檢查。如果是分叉項(xiàng)目，請(qǐng)反復(fù)檢查相對(duì)原始版本進(jìn)行的更改；

　　采取必要的風(fēng)險(xiǎn)控制措施，實(shí)時(shí)主動(dòng)監(jiān)控異常情況，一旦出現(xiàn)異常及時(shí)暫停協(xié)議；

　　制定應(yīng)急計(jì)劃，以防真的出現(xiàn)最壞的情況；

　　如果條件允許可設(shè)定漏洞賞金計(jì)劃；

　　安全公司 PeckShield 和 CertiK 也為 BSC 項(xiàng)目的任何安全咨詢服務(wù)提供綠色通道。

　　隨著 DeFi 發(fā)展以及整個(gè)加密社區(qū)的發(fā)展，黑客攻擊事件一直層出不窮。區(qū)塊鏈網(wǎng)絡(luò)和鏈上項(xiàng)目需要更多的安全規(guī)范和相應(yīng)審查機(jī)制來(lái)防止攻擊事件頻繁發(fā)生。