JULB:JulSwap閃電貸攻擊分析及事件后續

事件起因

2021年5月28日，有消息稱BSC鏈上DEX協議、自動化的流動性協議的JulSwap遭到閃電貸攻擊，知道創宇區塊鏈安全實驗室第一時間展開分析并將攻擊結果簡訊分享給大家，供參考研究。

事件分析

攻擊者交易：https://bscscan.com/tx/0x1751268e620767ff117c5c280e9214389b7c1961c42e77fc704fd88e22f4f77a攻擊合約地址：0x7c591aab9429af81287951872595a17d5837ce03

Julien Bouteloup：目前ETH價值被低估了:金色財經報道，區塊鏈開發和建設者Julien Bouteloup表示，ETH應被視為基礎設施，目前，如果我們看一下去中心化互聯網的潛在長期潛力，它相對于其他大型科技股的價值被低估了。在熊市期間，我們看到繼續建立新協議的動機越來越少。[2022/12/22 22:01:42]

Julian Sawyer 的推特和領英簡介已更改為 Bitstamp 前 CEO:5月8日消息，Julian Sawyer 的推特和領英簡介已更改為 Bitstamp 前首席執行官。Julian Sawyer 也是 Starling Bank 的聯合創始人。Bitstamp 由 Nejc Kodri? 于 2011 年創立，2020 年 10 月份 Julian Sawyer 開始擔任 Bitstamp CEO。[2022/5/8 2:58:29]

1.通過交易記錄可以看出攻擊者通過閃電貸借到70000個JULB代幣，然后調用JULB-WBNB的交易對進行兌換得到1400個BNB，這時攻擊合約中就有了1400個WBNB。2.隨后攻擊合約調用JulProtocolV2合約的addBNB函數進行抵押挖礦。該函數的功能就是通過轉入WBNB，合約會計算出相應需要多少JULB代幣進行添加流動性挖礦，隨后會記錄轉入的WBNB的數量用于抵押挖礦，函數代碼如下所示。

現場 | Hyperledger亞太副總裁Julian Gordon：超級賬本Hyperledger將與螞蟻區塊鏈實現跨鏈互操作性:金色財經現場報道，9月26日在螞蟻區塊鏈生態峰會專場召開上，?Hyperledger亞太區副總裁Julian Gordon介紹了Hyperledger超級賬本生態，Julian Gordon并且表示Hyperledger與螞蟻區塊鏈持續合作推進區塊鏈生態互聯互通。圖文直播請點擊原文鏈接。[2019/9/26]

3.由于閃電貸兌換了WBNB，所以JulProtocolV2合約錯誤的計算出了14.4w個JULB代幣能與515個WBNB去交易對中添加流動性，并把lp代幣轉入了JulProtocolV2合約。此時攻擊合約還剩下885個WBNB。4.攻擊者再用剩下的WBNB兌換為JULB，由于pair中添加了大量的JULB代幣的流動性，所以在兌換時只需要363個WBNB就可以兌換出7w個JULB代幣用于還貸，合約還剩下885-363=522個WBNB，最后把這些WBNB轉入錢包地址，攻擊者就完成了一次閃電貸套利。

事件后續

JULBSWAP的CEO在twitter中發推文稱此次事件由于閃電貸造成的兌換套利，官方將在后續更換新的版本并嘗試開始回購JULB代幣用于補償用戶。后續事件如果有新進展，實驗室將會持續跟進，同時我們提醒各大項目方在defi項目中一定要做好代碼審計測試，特別是在一些原有功能需求的更改上一定要做好數據測試和安全控制。

Tags：JULBNBWBNBJULBJUL幣bnb英文wbnb和bnb區別JULB幣

XMR