前言
8月4日,知道創宇區塊鏈安全實驗室監測到BSC鏈上的DeFi協議WaultFinance遭遇閃電貸襲擊,價值跌落近半。實驗室第一時間跟蹤本次事件并分析。
涉及對象
攻擊合約地址:0xaa895873a268a387e38bd841c51d2804071197a10x50AFA9383EA476BDF626d6FbA62AFd0b01C8fEa1受害合約地址:0x6102d8a7c963f78d46a35a6218b0db4845d1612f0xa79fe386b88fbee6e492eeb76ec48517d1ec759a
UniSwap Labs推出300萬USDC額外漏洞賞金計劃:11月26日消息,UniSwap Labs官方宣布推出一項高達300萬USDC的額外漏洞賞金計劃,在Universal Router和Permit2發布之前(2022年11月30日之前)發現的所有漏洞可獲最高3,000,000 USDC的額外獎勵,范圍覆蓋UniversalRouter.sol及其所有依賴項和Permit2.sol及其所有依賴項。[2022/11/26 20:47:46]
攻擊過程
1.獲取啟動資金
首先黑客通過閃電貸從WUSD-USDT池中借出1,683萬WUSD
鏈上分析平臺Ergo Watch正式上線:據官方消息,Ergo新的鏈上分析平臺 Ergo Watch 現已上線,用戶現在可以在該平臺上查詢有用指標,例如ERG釋放、開發者和用戶增長、預言機池和 SigUSD等相關數據,以及在交易所的流動性、智能合約中的總鎖定價值、平均持有時間和 SigUSD等指標。該平臺大量開發工作由社區開發者 abcchris完成。[2021/12/12 7:33:58]
接著通過WUSDMaster銷毀WUSD獲得1,503萬USDT和1.065億WEX
MathWallet和Aart聯合出品的加密藝術展登陸上海外灘三號滬申畫廊:據官方消息,由MathWallet 和Aart聯合出品,加密藝術策展人楊嘎策劃的《李洋畫夢30年加密藝術展》于6月20日在上海外灘三號滬申畫廊正式拉開帷幕。
本次展覽將展出刷新中國加密藝術NFT拍賣記錄的作品《畫夢30年:夢網游·R》,同時還將展出李洋畫夢30年藝術創作過程中具有程碑意義的作品,其中包含早期的實體作品和10多年用iPad創做的一系列數字夢作品。[2021/6/20 23:51:33]
黑客再通過閃電貸從PancakeSwap借出4,000萬USDT,并將其中2,300萬USDT兌換為WEX
2.攻擊階段
黑客向WUSDMaster重復的進行質押USDT以獲得WUSD,此過程WUSDMaster會自動將部分USDT置換為WEX
最后將手中的WEX兌換為USDT
3.離場
黑客歸還閃電貸并將獲利代幣通過兌換為ETH,再通過AnySwap跨鏈離場。
攻擊過程涉及原理分析
其實原理很簡單,就是黑客利用閃電貸低價大量買入WEX,再通過向WUSDMaster質押USDT拉升WEX價位,最后再拋售獲利。
那為什么WUSDMaster在接收質押時會拉升WEX價位?
在攻擊過程分析中我們可以看到,黑客質押USDT獲取WUSD時,WUSDMaster合約自動將一部分USDT兌換為WEX
觀察源碼
很明顯當大量質押交易產生時會導致交易對中的WEX大量下降,其價值會迅速拉升,此時黑客拋售WEX就能獲取巨額利潤。
總結
近期,BSC鏈上頻頻爆發攻擊事件,合約安全愈發需要得到迫切重視,合約審計、風控措施、應急計劃等都有必要切實落實。
是時候參加巴林和澳大利亞F1?DeltaTime聯合大獎賽(GrandPrix?)了!我們為本周的計時賽和GrandPrix?大獎賽共準備了160.
1900/1/1 0:00:00歐易OKEx情報局行業周報帶你快速回顧行業動態,厘清產業動向。 目錄: 行情概覽 機構與公司動態 加密資產市場 DeFi/NFT/Layer2動態 行業聲音 行情概覽 根據CoinGecko數據.
1900/1/1 0:00:00當區塊鏈達到1,265,000后,以太坊正式進行了EIP-1559升級,也稱為了“倫敦升級”,至此,以太坊正式進入ETH2.0時代.
1900/1/1 0:00:00作者:Jackson AMM貫穿著DeFi世界的始終,同時AMM模型也構建了DeFi世界繁榮的基礎.
1900/1/1 0:00:00Web時代經歷了上個世紀80年的Web1.0門戶網,到2000年的Web2.0社交網絡時代,目前正逐漸步入去中心化的Web3.0時代.
1900/1/1 0:00:00BTC今日再次突破5萬刀!而FIL的表現也可圈可點,何時突破300刀?FIL升值空間和市場表現歸根結底取決于其應用和社區價值.
1900/1/1 0:00:00