SharkTeam揭示：智能合约提案攻击成为十大安全威胁之一

答：并非如此。例如“外溢”和“外部调用”等常见的区块链智能合约网络安全问题并不是最危险的。在SharkTeam合同安全性系列课程的【十大区块链智能合约安全风险】中，第九课将详细讨论提案攻击等安全风险，这些风险是从产生次数和不良影响上可以称之为Top10的。

一、什么是提案攻击？

在区块链技术自治组织（DAO）中，参与者会提出关于未来协议书更新、资金分配等提案，为使提案生效需要进行投票，参与者必须持有相应的整治代币。拥有整治代币的持有人可以进行提案、投票、执行一系列主题活动。

尽管提案整治有益于基本建设区块链技术未来的发展，但也存在缺点。整治代币拥有者占比小的消费者会采取客观冷淡心态参与整治，进一步造成DAO内投票权的去中心化，进而致使极少数人拥有主导权。拥有较多整治代币的消费者则拥有过多投票权。因此，攻击者可以通过获得充足的投票权重构标准，或危害整治代币持有者进行有偏见的投票。这种行为被称为提案攻击。

二、攻击事件分析

2.1 BeanstalkFarms

2022年4月17日，新项目BeanstalkFarms遭网络黑客攻击，损失超过8000万美元，包括24830ETH和3600万BEAN。

攻击全过程如下：

（1）从Aave平台通过闪电贷筹集资金350MDAI、500MUSDC和150MUSDT，在Uniswap和SushiSwap平台借款32.1MBEAN和11.6MLUSD。

（2）将所筹资金的DAI、USDC和USDT全部投入到CurveDAI/USDC/USDT流动性挖矿软件中，铸造出979,691,328个流动性代币3Crv。

（3）将15M3Crv兑换成15,251,318LUSD，将964,691,3283Crv加上流动性得到795,425,740BEAN3CRV-f，将32,100,950BEAN和26,894,383LUSD加上流动性后，获得58,924,887BEAN3CRV-f。

（4）利用所得到的所有BEAN3CRV-f代币进行

热点：区块链 智能合约