前言
8月4日,知道創宇區塊鏈安全實驗室?監測到BSC鏈上的DeFi協議WaultFinance遭遇閃電貸襲擊,價值跌落近半。實驗室第一時間跟蹤本次事件并分析。
涉及對象
攻擊合約地址:0xaa895873a268a387e38bd841c51d2804071197a10x50AFA9383EA476BDF626d6FbA62AFd0b01C8fEa1受害合約地址:0x6102d8a7c963f78d46a35a6218b0db4845d1612f0xa79fe386b88fbee6e492eeb76ec48517d1ec759a
AIR已登錄JustSwap,開啟TRX/AIR交易測試:據官方消息,跨鏈回收項目AIR已經登錄JustSwap,開啟TRX/AIR交易測試,即將全鏈開啟交易。
據官方介紹,AIRCOIN是由美國哈弗大學實驗室研發,基于ETH,TRON,BSC,HECO等四條主流公鏈通過智能合約實現跨鏈兌換和“垃圾幣”回收。
AIRCOIN總發行量1000萬億枚,其中25%放于流動性資金池,25%用于主流項目流動性挖礦,50%用于跨鏈兌換,黑洞銷毀。
目前萬億空投正在進行中,可通過aicoinex官網查詢詳細信息。[2021/6/20 23:51:08]
攻擊過程
加密稅務軟件提供商TokenTax增加對Uniswap V2的支持:8月27日消息,加密稅務軟件提供商TokenTax增加了對Uniswap V2的支持。這意味著用戶只需連接以太坊地址,他們的Uniswap V1和V2交易將自動導入到他們的TokenTax賬戶中。(TheBlock)[2020/8/27]
1.獲取啟動資金
首先黑客通過閃電貸從WUSD-USDT池中借出1,683萬WUSD
動態 | 恩金更新其錢包Enj Wallet:恩金更新其錢包Enj Wallet,新增QR碼掃描、推送通知等功能,可接收基于以太坊區塊鏈的ERC-1155代幣。[2019/3/11]
接著通過WUSDMaster銷毀WUSD獲得1,503萬USDT和1.065億WEX
黑客再通過閃電貸從PancakeSwap借出4,000萬USDT,并將其中2,300萬USDT兌換為WEX
2.攻擊階段
黑客向WUSDMaster重復的進行質押USDT以獲得WUSD,此過程WUSDMaster會自動將部分USDT置換為WEX
最后將手中的WEX兌換為USDT
3.離場
黑客歸還閃電貸并將獲利代幣通過兌換為ETH,再通過AnySwap跨鏈離場。
攻擊過程涉及原理分析
其實原理很簡單,就是黑客利用閃電貸低價大量買入WEX,再通過向WUSDMaster質押USDT拉升WEX價位,最后再拋售獲利。
那為什么WUSDMaster在接收質押時會拉升WEX價位?
在攻擊過程分析中我們可以看到,黑客質押USDT獲取WUSD時,WUSDMaster合約自動將一部分USDT兌換為WEX
觀察源碼
很明顯當大量質押交易產生時會導致交易對中的WEX大量下降,其價值會迅速拉升,此時黑客拋售WEX就能獲取巨額利潤。
總結
近期,BSC鏈上頻頻爆發攻擊事件,合約安全愈發需要得到迫切重視,合約審計、風控措施、應急計劃等都有必要切實落實。
在經過提前一天預告之后,一汽大眾旗下的奧迪官方微博8月10日宣布,將通過xNFTProtocol限量發行藝術家程然根據新奧迪A8L60TFSIe創作的NFT藝術盲盒,并將通過一對一尊享溝通.
1900/1/1 0:00:00在一段時間里,“元宇宙”只停留在概念階段。今年3月,Roblox在紐交所上市,不僅成為市值超400億美元的“新貴”,還帶火了“元宇宙”,被稱為“元宇宙第一股”.
1900/1/1 0:00:008月3日,去中心化衍生品交易協議dYdX宣布推出治理代幣DYDX,并對此前在平臺上交互過的地址進行空投。治理代幣DYDX總量10億,主要用于dYdX協議治理和手續費折扣.
1900/1/1 0:00:00移動支付網訊:近日,據網友透露,民生銀行手機銀行App加入了“數字人民幣”入口,用戶可通過該入口實現數字人民幣錢包的開立.
1900/1/1 0:00:00以太坊價格在短期內可能會看漲,但有少數因素可能會使價格被釘在目前的范圍內。自從以太坊聯合創始人VitalikButerin在2021年StartmeupHK節上發表演講以來,以太坊價格一直處于下.
1900/1/1 0:00:00HOTTALK 想象一種新型互聯網,它不僅可以準確地解釋你輸入的內容,而且可以真正理解你傳達的一切,無論是通過文本、語音還是其他媒體,你消費的所有內容都比以往任何時候都更加適合你.
1900/1/1 0:00:00