Balancer遭受攻击，DeFi前景蒙上阴影

得到的代币池中的数量设置为任意想要的数量。

过程7：运用flash loan还清之前的闪电贷。进犯完毕。

具体过程可以看出，进犯者经过先借得很多代币，并经过铸造代币、很多买卖、触发空投机制等一系列操作，巧妙地运用了Compound协议的金融模型缝隙。整个进犯过程获利约11.5ETH，这样的进犯办法可谓精妙。

天网扫描
– 事情概述
6月29日，进犯者从dYdX闪电贷中借到代币并铸币后，经过uniswap闪贷取得cWBTC和cBAT代币，然后将借得的代币在Balancer代币池中很多买卖，然后触发Compound协议的空投机制，取得空投的COMP代币，再运用Balancer有缝隙的gulp函数更新代币池数量后，取走一切代币并归还闪电贷。进犯者相当于运用了Compound协议的金融模型、闪电贷和Balancer代码缝隙，惹是生非了COMP，总获利约为11.5ETH。
– CertiK进犯者心理画像
6月29日下午8点与11点的两起进犯运用了相同的办法而且运用了同一个收款地址，确认为一个团队。虽然这两次进犯与29日清晨2点的进犯均运用了Balancer合约的gulp，可是进犯手段不同，后两次进犯运用了Compound的金融模型的缝隙而不是单纯的代码缝隙。另外，后两次进犯的获利远小于初次进犯获利，施行初次进犯的黑客没有再次进犯的动机。CertiK判断后两次进犯是在初次进犯14小时后，运用类似原理施行的模仿进犯。
– DeFi安全新挑战
这次的进犯事情主要运用了金融模型规划上的缝隙，而不是代码层面的缝隙。这种由DeFi商场孕育出的新式进犯方式，让大部分区块链安全公司仅有的“代码审计”服务变得毫无用处。
只针对代码层面而不能对笼统模型进行剖析的、传统的安全技能彻底应对不了DeFi带来的新挑战。而没有模型层面维护的DeFi，只能沦为熟知DeFi金融模型的黑客的提款机。
– DeFi安全预警是弊大于利吗？
这次的模仿进犯，让很多人对区块链安全公司产生了质疑：安全公司的剖析文章会不会教会更多人进犯的办法？为什么各种安全预警没有改善安全环境？咱们真的还需求安全预警吗？ CertiK的观点是，不仅需求安全预警，还要做到更快更深入！
不同于传统软件系统，区块链一切的买卖、一切的合约调用都是公开透明的。进犯事情发生后，区块链上的买卖记载关于黑客而言就是最直白的教科书，区块链安全公司要抢在模仿进犯之前发布预警，维护相关公司。可是最近频频的进犯事情，再一次证明安全预警是远远不够的，并不能改动当时DeFi甚至整个区块链的安全现状。
– DeFi安全还有时机吗？
为了根本性改动DeFi的安全现状，咱们必须针对新式智能合约（比如DeFi、IoT)引进全新的安全机制。 这种安全机制必须要能进行模型层的剖析，必须可以习惯新式合约的开展，尽量做到在进犯时拦截，而非在进犯后预警。CertiK团队正在研发基于CertiKChain的新式安全DeFi机制——CeDeFi(CertifiedDeFi)——即可信DeFi，相信可以在未来彻底改动当时被动的安全现状。
– 进犯还原
以下午11点对Balancer的进犯为例：
过程1：从dYdX处经过闪电贷方式借得WETH、DAI和USDC三种代币，数额分别是103067.20640667767、5410318.972365872和5737595.813492。
过程2：运用过程1中得到的代币，对三种代币(cETH、cDAI和cUSDC)进行铸币操作(mint)。
过程3：运用uniswap经过闪电贷方式，借得(borrow)并铸造(mint)cWBTC，cBAT代币。
过程4：携带取得的cWBTC与cBAT加入代币池，此时进犯者拥有的cWBTC和cBAT的数目分别为4955.85562685和55144155.96523628。
过程5：分别用cWBTC和cBAT在该代币池中进行很多的买卖，然后触发Airdrop操作，将无归属的COMP分发到该代币池中。
过程6：调用gulp函数将当时得到的代币池中的数量设置为任意想要的数量。
过程7：运用flash loan还清之前的闪电贷。进犯完毕。
具体过程可以看出，进犯者经过先借得很多代币，并经过铸造代币、很多买卖、触发空投机制等一系列操作，巧妙地运用了Compound协议的金融模型缝隙。整个进犯过程获利约11.5ETH，这样的进犯办法可谓精妙。

此时快讯

【马斯克支持的X.AI拟通过股权发行筹集10亿美元】金色财经报道，据Coindesk消息，马斯克支持的X.AI向美国证券交易委员会提交文件，计划通过股权发行筹集高达10亿美元资金。文件显示，该公司已出售价值1.347亿美元的证券，另有8.653亿美元待出售，接受任何外部投资者的最低投资额为200万美元。
马斯克是X.AI的执行官兼董事。金色财经此前报道，2023年4月，马斯克将Twitter并入X Corp.时，将X.AI Corp. 注册为人工智能初创公司，随后其成立了自己的公司xAI，以“了解宇宙”。