Back to Blog

闪电贷攻击 Plouto 金库

Code Auditing
December 18, 2020

本博客由中国浙江大学区块链安全研究团队发布*

2020年12月16日,我们的监控系统ThunderForecast报告了一系列可疑交易。随后,我们使用由我们研究团队开发的EthScope系统分析了这些交易,并确认所有报告的交易都是恶意的。在本博客中,我们将详细说明此次攻击,以帮助理解攻击者每种行为的意图。

什么是 Plouto Vault?

Plouto 是一个开放的去中心化资产管理协议。Plouto 协议提出了一个名为“开放金库”(Open Vault)的关键理念。借助这一理念,除了标准的投资策略外,资产管理者还可以将他们的协议部署给其他第三方,甚至可以使用 Plouto Vault 设计自己的策略。在这次攻击中,攻击者利用了Plouto Vault的漏洞,即铸造的代币数量取决于 YPool 中相应代币的数量。最终,攻击者套利了总计 698,775.32 美元的金额。

详细信息

现在,我们将通过一个攻击交易 0x49112d… 来揭示更多攻击细节。

涉及十个步骤:

  • 步骤 1:从 AAVE 借入 9,000,000 USDC 的闪电贷。
  • 步骤 3:从 UniswapV2 借入 2,000,000 USDT 的闪电贷。
  • 步骤 7:偿还 UniswapV2 上借入的 2,006,200 USDT 闪电贷。
  • 步骤 8:在 UniswapV2-USDT 池中将 17,298 USDT 兑换为 17,320 USDC。兑换的 USDC 用于偿还 AAVE 上第一笔闪电贷。
  • 步骤 9:偿还 AAVE 上借入的 9,008,100 USDC 闪电贷。
  • 步骤 10:将 177,533 USDC 兑换为 175,669 DAI,并将利润发送到攻击者的 EOA。

收益与损失

在上述交易中,攻击者操纵了 YPool 中 USDT 的流动性,并从 Plouto Vault 套利了 175,669 DAI。

攻击规模

基于此次攻击的特点,我们检测到攻击者 0x43c162…. 发动了 1 个恶意合约 0x2421ce… 和 8 笔交易(在交易 0x49112d… 事件中获得的最大利润为 175,669.88 美元)。根据 Ehterscan 上的数据,攻击者总共套利了 698,775.32 美元。

结语

随着以太坊上 DeFi 生态系统的发展和 DeFi 服务(闪电贷)的不断更新,安全问题逐渐凸显。在这起攻击背后,闪电贷为攻击者实施流动性操纵提供了极大的“便利”。最近,Harvest 平台遭受了一次攻击,该攻击利用了合约之间强烈的依赖关系。

时间线

  • 2020/12/16:发现可疑交易
  • 2020/12/17:完成分析
  • 2020/12/18:发布详细信息

关于 BlockSec

BlockSec 是一家领先的区块链安全公司,由一群全球知名的安全专家于 2021 年创立。公司致力于为新兴的 Web3 世界提升安全性和可用性,以促进其大规模采用。为此,BlockSec 提供智能合约和 EVM 链安全审计服务,用于安全开发和主动阻止威胁的Phalcon平台,用于资金追踪和调查的MetaSleuth平台,以及供 Web3 构建者在加密世界高效冲浪的MetaSuites扩展。

迄今为止,该公司已为 MetaMask、Uniswap Foundation、Compound、Forta 和 PancakeSwap 等 300 多家尊贵客户提供服务,并在两轮融资中从 Matrix Partners、Vitalbridge Capital 和 Fenbushi Capital 等知名投资者那里获得了数千万美元的投资。

官方网站:https://blocksec.com/

官方推特账号:https://twitter.com/BlockSecTeam

Sign up for the latest updates
~$800K损失:Hinkal双花攻击 | BlockSec周报
Security Insights

~$800K损失:Hinkal双花攻击 | BlockSec周报

本周安全报告涵盖2026年6月29日至7月5日1起重大事件,以太坊总损失约80万美元。Hinkal隐私池协议遭双重花费攻击,疑因旧版票据格式缺陷,攻击者从单笔存款中派生多个无效符。报告分析了电路层漏洞、攻击流程及对基于无效符隐私协议的影响。

简讯 - 2026年6月
Security Insights

简讯 - 2026年6月

本月报告涵盖2026年6月三起最大安全事件,确认损失共约2200万美元。一次精密蜜罐攻击利用未检查的代币授权,从JaredFromSubway的MEV机器人中盗取约1500万美元。两个旧版Aztec rollup部署因证明结算边界漏洞损失约435万美元。SecondFi的Ed25519实现缺陷导致钱包私钥泄露,374个钱包共损失约240万美元。三起事件有一个共同规律:表面完好但从未真正执行的安全保障。

约400万美元损失:Taiko与SecondFi遭受攻击 | BlockSec周报
Security Insights

约400万美元损失:Taiko与SecondFi遭受攻击 | BlockSec周报

本周区块链安全报告涵盖2026年6月22日至28日的两起安全事件,确认损失约410万美元,涉及Ethereum和Cardano两条链。Taiko桥攻击中,攻击者利用泄露的SGX enclave签名密钥与attestation策略中缺失的属性验证,注册恶意prover并在Ethereum上伪造L2状态证明。SecondFi钱包漏洞源于Ed25519 nonce派生中的密码学实现缺陷,秘密输入被遗漏,使攻击者可从公开的Cardano链上交易数据离线恢复私钥。

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit