前言
8月4日,知道创宇区块链安全实验室监测到BSC链上的DeFi协议WaultFinance遭遇闪电贷袭击,价值跌落近半。实验室第一时间跟踪本次事件并分析。
涉及对象
攻击合约地址:0xaa895873a268a387e38bd841c51d2804071197a10x50AFA9383EA476BDF626d6FbA62AFd0b01C8fEa1受害合约地址:0x6102d8a7c963f78d46a35a6218b0db4845d1612f0xa79fe386b88fbee6e492eeb76ec48517d1ec759a
Poly Network 创始成员John Wang:DeFi合约因自身复杂性而产生漏洞,是区块链应用发展的必经阶段:金色财经报道,7月23日,Poly Network 创始成员John Wang做客金色财经举办的“跨链桥-孤岛互链,生态治理与关键”为主题的金色沙龙第67期活动。John Wang表示跨链的概念早在16年就被提出,时至今日已经成为了备受关注的热门领域,但在火热的浪潮之下,真正走出来的项目却很少,是由于跨链技术存在很多难点,各个区块链底层架构不同、数据结构不同、业务模式不同,因此真正要把异构链跨链落地其实很难。DeFi合约因为本身复杂性和组合型,所以经常会看到比较多的漏洞合约,这是区块链应用发展必须要经历的一个阶段。[2021/7/23 1:11:40]
攻击过程
币在·BitZ将于5月10日14:00上线 YOU (YouSwap):据官方公告消息,币在·BitZ将于5月10日14:00上线 YOU,并开放USDT交易市场,充值现已开放;同时,已于05月07日 20:00开启“YOU充值即上线,一起瓜分5000 YOU空投”的活动。
据悉,YouSwap是由美国硅谷的区块链极客团队创建的一个全生态去中心化交易所项目,它通过构造多链生态的部署体系实现数字资产的多链共享,它为项目方提供了一键发币技术支持和募资上币服务,它改良了AMM模型(自动做市商算法)提供了具有高安全保障的流动性效果。[2021/5/9 21:41:29]
1.获取启动资金
首先黑客通过闪电贷从WUSD-USDT池中借出1,683万WUSD
SushiSwap社区成员发起新提案,旨在实施保证金交易:SushiSwap社区成员Boring Crypto发起新提案,以在平台实施保证金交易。提案指出,像Compound和Aave这样的平台允许用户将资产作为抵押品存入,并以此为抵押借入其他资产。这些协议已经吸引了数十亿美元,但它们受到一些重大限制。除去这些限制将可以推动更大范围的采用。这项提案正是为了做到这一点。并指出可以通过包含如下功能的一个平台来解决这些问题:
- 孤立的贷款对。任何人都可以创建,这取决于用户认为哪种贷款对足够安全。因此风险是孤立的;
- 灵活的预言机,包括链上和链下;
- 基于特定目标利用率的流动性利率,如75%;
- 为实现低gas费用而优化的合约;
- 所提供的资产可用于闪电贷,为供应者提供额外收入。[2020/9/24]
直布罗陀证券交易所执行董事David Wang:直布罗陀将成为“数字货币的港湾”:直布罗陀证券交易所执行董事David Wang在会后接受金色财经专访时表示:“直布罗陀证券交易所现在有一个新的交易平台叫GBX,我们想让它成为一个数字货币港湾,想要成为一个世界领先的token sale平台以及数字货币交易所。”[2017/11/21]
接着通过WUSDMaster销毁WUSD获得1,503万USDT和1.065亿WEX
黑客再通过闪电贷从PancakeSwap借出4,000万USDT,并将其中2,300万USDT兑换为WEX
2.攻击阶段
黑客向WUSDMaster重复的进行质押USDT以获得WUSD,此过程WUSDMaster会自动将部分USDT置换为WEX
最后将手中的WEX兑换为USDT
3.离场
黑客归还闪电贷并将获利代币通过兑换为ETH,再通过AnySwap跨链离场。
攻击过程涉及原理分析
其实原理很简单,就是黑客利用闪电贷低价大量买入WEX,再通过向WUSDMaster质押USDT拉升WEX价位,最后再抛售获利。
那为什么WUSDMaster在接收质押时会拉升WEX价位?
在攻击过程分析中我们可以看到,黑客质押USDT获取WUSD时,WUSDMaster合约自动将一部分USDT兑换为WEX
观察源码
很明显当大量质押交易产生时会导致交易对中的WEX大量下降,其价值会迅速拉升,此时黑客抛售WEX就能获取巨额利润。
总结
近期,BSC链上频频爆发攻击事件,合约安全愈发需要得到迫切重视,合约审计、风控措施、应急计划等都有必要切实落实。
标签:USDSDTWUSDUSDTPUSDbitvenus交易所USDT肿么提现WUSD币trustwallet支持usdt吗
加入PolkaWorld社区,共建Web3.0! Kusama的第一轮插槽拍卖结束已经有3周的时间.
1900/1/1 0:00:00是时候做好首届REVVRacing锦标赛的准备了,除了在出发前拥有一个REVVRacingNFT,别无任何要求.
1900/1/1 0:00:00近日,财新周刊发表的《显影|中国告别比特币“挖矿”》中,配有一张一位藏族妇女正在搬运矿机的图片,稿件甫一发出,这张“记录了四川比特币矿场关闭的历史时刻”的配图就迅速走红,不仅点燃了NFT创作者的热情,也真实的反应了中国挖矿行业的现状.
1900/1/1 0:00:00整体发展 目前可以从以下三个浏览器中,追踪到DFINITY网路的发展情况:https://dashboard.internetcomputer.org/https://ic.rocks/https://www.dfinityexplo.
1900/1/1 0:00:00加入PolkaWorld社区,共建Web3.0! Kusama Karura社区已通过链上治理启动Kusama网络首个去中心化跨链稳定币kUSD,并支持KSM抵押借出kUSD,同时还上线了KSM/kUSD与流动性激励计划.
1900/1/1 0:00:005月19日黑色星期三,加密货币行业惨绝人寰,比特币从4.3万美金下跌到最低29000美金,24小时最高30%的跌幅,其他加密货币也做了跟随,大批加密货币跌幅超过50%,凶猛的下跌引发了投资者的恐慌情绪.
1900/1/1 0:00:00
宇宙链