JUL:JulSwap閃電貸攻擊分析及事件后續

事件起因

2021年5月28日，有消息稱BSC鏈上DEX協議、自動化的流動性協議的JulSwap遭到閃電貸攻擊，知道創宇區塊鏈安全實驗室第一時間展開分析并將攻擊結果簡訊分享給大家，供參考研究。

事件分析

攻擊者交易：https://bscscan.com/tx/0x1751268e620767ff117c5c280e9214389b7c1961c42e77fc704fd88e22f4f77a攻擊合約地址：0x7c591aab9429af81287951872595a17d5837ce03

大西洋智庫Julia Friedlander：美國應該加入日本和加拿大對于CBDC在跨國轉賬應用的開發:美東時間6月24日，在哈佛大學肯尼迪政府學院的貝爾弗中心智庫展開了一場由中心主任Aditi Kumar主持的關于數字貨幣的研討會。大西洋智庫全球經濟副主任和前歐盟南歐經濟事務主任Julia Friedlander表示，中國央行數字貨幣和天秤幣的進展，以及美國在疫情中暴露出支付系統包容性的落后會同時刺激美聯儲加快對央行數字貨幣（CBDC）的研究。監管者目前不希望因為私營企業的每次調整而干預監管政策，但最終會在美聯儲的領導下制定相應政策。中國政府在領導在數字貨幣反洗錢等方面的國際標準，但這個標準并不完善，應在全球框架下進行修改。美國應該加入日本和加拿大對于CBDC在跨國轉賬應用的開發。（巴比特）[2020/6/26]

動態 | 瑞士私人銀行Julius Baer推出數字資產交易和托管服務:瑞士私人銀行和財富管理集團Julius Baer宣布與瑞士加密貨幣銀行SEBA合作，推出數字資產交易和托管服務。Julius Baer產品的詳細信息目前尚未透露，但其公告表明該公司將利用Seba的專有平臺和功能。（cointelegraph）[2020/1/27]

1.通過交易記錄可以看出攻擊者通過閃電貸借到70000個JULB代幣，然后調用JULB-WBNB的交易對進行兌換得到1400個BNB，這時攻擊合約中就有了1400個WBNB。2.隨后攻擊合約調用JulProtocolV2合約的addBNB函數進行抵押挖礦。該函數的功能就是通過轉入WBNB，合約會計算出相應需要多少JULB代幣進行添加流動性挖礦，隨后會記錄轉入的WBNB的數量用于抵押挖礦，函數代碼如下所示。

動態 | 曾被指控參與金字塔騙局的Julian Hosp正為其新項目尋求募資:TenX（PAY）創始人Julian Hosp曾被指控拋售220萬PAY枚代幣，并參與了澳大利亞的金字塔騙局Lyoness。但根據其于11月14日發布的推文，Hosp正在為他的新產品Defi Blockchain從機構及合格投資者處尋求750萬美元募資。（Bitcoin Exchange Guide）[2019/11/18]

3.由于閃電貸兌換了WBNB，所以JulProtocolV2合約錯誤的計算出了14.4w個JULB代幣能與515個WBNB去交易對中添加流動性，并把lp代幣轉入了JulProtocolV2合約。此時攻擊合約還剩下885個WBNB。4.攻擊者再用剩下的WBNB兌換為JULB，由于pair中添加了大量的JULB代幣的流動性，所以在兌換時只需要363個WBNB就可以兌換出7w個JULB代幣用于還貸，合約還剩下885-363=522個WBNB，最后把這些WBNB轉入錢包地址，攻擊者就完成了一次閃電貸套利。

事件后續

JULBSWAP的CEO在twitter中發推文稱此次事件由于閃電貸造成的兌換套利，官方將在后續更換新的版本并嘗試開始回購JULB代幣用于補償用戶。后續事件如果有新進展，實驗室將會持續跟進，同時我們提醒各大項目方在defi項目中一定要做好代碼審計測試，特別是在一些原有功能需求的更改上一定要做好數據測試和安全控制。

Tags：JULBNBWBNBJULBJULB價格PEPEBNBwbnb幣是什么JULB幣

DOGE