Wault Finance 闪电贷安全事件分析

8月4日,知道创宇区块链安全实验室 监测到 BSC 链上的 DeFi 协议 Wault Finance 遭遇闪电贷袭击,价值跌落近半。实验室第一时间跟踪本次事件并分析。

攻击合约地址:0xaa895873a268a387e38bd841c51d2804071197a10x50AFA9383EA476BDF626d6FbA62AFd0b01C8fEa1

受害合约地址:0x6102d8a7c963f78d46a35a6218b0db4845d1612f0xa79fe386b88fbee6e492eeb76ec48517d1ec759a

CME比特币期货3月合约收报48310美元:金色财经报道,成交量最高的CME比特币期货2021年3月合约今日收跌2590美元,收报48310美元。2021年4月、5月及6月合约分别收报48855美元、49435美元和49910美元。[2021/3/5 18:16:51]

1. 获取启动资金

首先黑客通过闪电贷从 WUSD-USDT 池中借出 1,683 万 WUSD

接着通过 WUSDMaster 销毁 WUSD 获得 1,503 万 USDT 和 1.065 亿 WEX

金色财经挖矿数据播报:ETH今日全网算力上涨4.59%:金色财经报道,据蜘蛛矿池数据显示:

BTC全网算力133.861EH/s,挖矿难度18.60T,目前区块高度663436,理论收益0.00000742/T/天。

ETH全网算力300.104TH/s,挖矿难度3779.90T,目前区块高度11546363,理论收益0.00755269/100MH/天。

BSV全网算力0.738EH/s,挖矿难度0.11T,目前区块高度667623,理论收益0.00121993/T/天。

BCH全网算力1.743EH/s,挖矿难度0.23,目前区块高度667916,理论收益0.00051647/T/天。[2020/12/29 15:58:14]

黑客再通过闪电贷从 PancakeSwap 借出 4,000 万 USDT,并将其中 2,300 万 USDT 兑换为 WEX

2. 攻击阶段

黑客向 WUSDMaster 重复的进行质押 USDT 以获得 WUSD,此过程 WUSDMaster 会自动将部分 USDT 置换为 WEX

最后将手中的 WEX 兑换为 USDT

3. 离场

黑客归还闪电贷并将获利代币通过兑换为 ETH,再通过 AnySwap 跨链离场。

其实原理很简单,就是黑客利用闪电贷低价大量买入 WEX ,再通过向 WUSDMaster 质押 USDT 拉升 WEX 价位,最后再抛售获利。

那为什么 WUSDMaster 在接收质押时会拉升 WEX 价位?

在攻击过程分析中我们可以看到,黑客质押 USDT 获取 WUSD 时,WUSDMaster 合约自动将一部分 USDT 兑换为 WEX

观察源码

很明显当大量质押交易产生时会导致交易对中的 WEX 大量下降,其价值会迅速拉升,此时黑客抛售 WEX 就能获取巨额利润。

近期,BSC 链上频频爆发攻击事件,合约安全愈发需要得到迫切重视,合约审计、风控措施、应急计划等都有必要切实落实。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

Bitcoin通俗解释隐私计算(多方安全计算)

隐私计算是一个由多方参与计算的技术,本质是不透露出相关具体信息的情况下,能够协同计算得出想要的结果。 对于个人、机构、政府,隐私计算都很重要。这里的有隐私计算更多时候可以用另外一句话代替“多方安全计算”。 多方安全计算入门 多方安全计算国内最著名(也是世界著名)的研究者是姚期智,姚期智是清华姚班创始人,图灵奖得主,院士等等不再赘述。

BitcoinTHORChain连遭三击 黑客会是同一个吗?

据慢雾 AML 团队分析统计,THORChain 三次攻击真实损失如下: 2021 年 6 月 29 日,THORChain 遭 “假充值” 攻击,损失近 35 万美元; 2021 年 7 月 16 日,THORChain 二次遭 “假充值” 攻击,损失近 800 万美元; 2021 年 7 月 23 日,THORChain 再三遭攻击。

瑞波币NFT的疯狂周末:两日交易额9320万美元

这个周末是属于 NFT 的。 当你打开 Dune Analytics 的 OpenSea 数据统计页面便会发现,7 月 31 日和 8 月 1 日两天,这家全球最大的 NFT 交易平台的单日交易额高达 3946 万美元和 5374 万美元,连续两天刷新历史最高纪录,8 月 1 日当天的交易额甚至几乎达到了这个周末前历史最高纪录的三倍。

USDCLayer2的理解与思考

Layer2是个大的话题。是否去中心化,是否安全,资金状态确认时间是Layer2的主要的讨论话题。最近有点时间,总结一下Layer2的理解和思考。 Layer2,相对于Layer1,在Layer1的基础上提供更丰富功能,更好的用户体验。

[0:0ms0-3:889ms