比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

Wault Finance 閃電貸安全事件分析_USDT

Author:

Time:1900/1/1 0:00:00

前言

8月4日,知道創宇區塊鏈安全實驗室?監測到BSC鏈上的DeFi協議WaultFinance遭遇閃電貸襲擊,價值跌落近半。實驗室第一時間跟蹤本次事件并分析。

涉及對象

攻擊合約地址:0xaa895873a268a387e38bd841c51d2804071197a10x50AFA9383EA476BDF626d6FbA62AFd0b01C8fEa1受害合約地址:0x6102d8a7c963f78d46a35a6218b0db4845d1612f0xa79fe386b88fbee6e492eeb76ec48517d1ec759a

過去24小時 Uniswap交易額達到1.67億美元:8月11日,據加密貨幣分析師ZackVoell發推稱,在過去24小時內,Uniswap的交易額達到1.67億美元。這個交易量是中心化交易平臺Bitstamp單日交易量的82%、Bitfinex的76%、Kraken的近50%,比Bitso、Bittrex和Gemini加起來還多。[2020/8/11]

攻擊過程

1.獲取啟動資金

首先黑客通過閃電貸從WUSD-USDT池中借出1,683萬WUSD

Bitfinex任命反洗錢專家Peter Warrack為CCO:近日,Bitfinex通過官推發布最新任命消息,Bitfinex任命反洗錢專家Peter Warrack為公司CCO。Warrack在反洗錢方面有著30年的經驗,曾是蒙特利爾銀行AML(Fintech Advisory)和Compliance Officer的前董事,Peter Warrack目前同時擔任加拿大金融犯罪分析中心(CIFCA)的講師和董事會成員。[2018/5/9]

接著通過WUSDMaster銷毀WUSD獲得1,503萬USDT和1.065億WEX

火幣Pro集團CEO李林:WAX超發事件源于雙方商務溝通不暢:今日下午,火幣集團就WAX幣超發的事件舉行說明會。火幣創始人、集團CEO李林稱,此次事件的主因來源于雙方在商務溝通環節出現問題,WAX在火幣Pro首發前一天修改了發行數量,但對方并沒有通知火幣團隊。火幣Pro在上線WAX時,也并未再度向WAX團隊進行確認。同時,他表示,雙方也沒有意識到問題的嚴重。火幣Pro在昨日發布公告稱將對WAX用戶進行100%補償,2018年1月31日前完成全部補償。[2017/12/27]

黑客再通過閃電貸從PancakeSwap借出4,000萬USDT,并將其中2,300萬USDT兌換為WEX

2.攻擊階段

黑客向WUSDMaster重復的進行質押USDT以獲得WUSD,此過程WUSDMaster會自動將部分USDT置換為WEX

最后將手中的WEX兌換為USDT

3.離場

黑客歸還閃電貸并將獲利代幣通過兌換為ETH,再通過AnySwap跨鏈離場。

攻擊過程涉及原理分析

其實原理很簡單,就是黑客利用閃電貸低價大量買入WEX,再通過向WUSDMaster質押USDT拉升WEX價位,最后再拋售獲利。

那為什么WUSDMaster在接收質押時會拉升WEX價位?

在攻擊過程分析中我們可以看到,黑客質押USDT獲取WUSD時,WUSDMaster合約自動將一部分USDT兌換為WEX

觀察源碼

很明顯當大量質押交易產生時會導致交易對中的WEX大量下降,其價值會迅速拉升,此時黑客拋售WEX就能獲取巨額利潤。

總結

近期,BSC鏈上頻頻爆發攻擊事件,合約安全愈發需要得到迫切重視,合約審計、風控措施、應急計劃等都有必要切實落實。

Tags:USDWUSDWEXUSDTWUSD幣WEX價格CUSDT幣

以太坊交易
加密貨幣會不會復蘇:比特幣未來走勢如何_比特幣

比特幣是加密貨幣世界的市場基準。自去年5月19日COVID疫情驅動的崩潰以來,加密貨幣市場出現了最嚴重的跌幅。BTC單日暴跌33%,一度跌至29,000美元的低點.

1900/1/1 0:00:00
為什么頂級奢侈品牌 LV、Burberry、Gucci紛紛進駐NFT領域?_BERRY

LV路易威登基于NFT的游戲應用程序隨著200周年的臨近,奢侈品牌路易威登推出了基于NFT的游戲應用程序“Louis:TheGame”,以慶祝創始人的生日.

1900/1/1 0:00:00
Burberry進軍NFT 這個市場有何魔力?_BERRY

奢侈品牌Burberry推出NFT虛擬公仔早前,Burberry就已宣布正與總部位于洛杉磯的游戲公司MythicalGames合作.

1900/1/1 0:00:00
為什么通用登錄對于 Web 3.0 來說不是上策?_WEB

原文標題:為什么“通用登錄”可能行不通?自人們開始探索區塊鏈的非金融用例以來,Web3.0中的身份概念一直是討論的焦點。身份一般以“通用登錄”的形式應用于網絡,即,使用一個身份訪問所有網頁.

1900/1/1 0:00:00
Facebook 將如何處理Diem區塊鏈上的虛擬資產服務提供商問題 (VASP)?_ASP

當你想購買更多加密貨幣或者出售時,你會去哪里?答案可能是VASP。當你收到比特幣時,你最終會將它發送到哪里?可能也是VASP.

1900/1/1 0:00:00
circle:以商業銀行為錨點 打通鏈上鏈下的金融場景_USD

circle要成為一家完全準備金的國家商業銀行這個新聞,胖子哥昨天晚上就看到了,本來想給各位老哥在微信群發,由于太晚了就放棄了。這個事情實際上很大,會對區塊鏈行業發展影響深遠.

1900/1/1 0:00:00
ads