USD:Wault Finance 閃電貸安全事件分析-ODAILY

前言

8月4日，知道創宇區塊鏈安全實驗室監測到BSC鏈上的DeFi協議WaultFinance遭遇閃電貸襲擊，價值跌落近半。實驗室第一時間跟蹤本次事件并分析。

涉及對象

攻擊合約地址：0xaa895873a268a387e38bd841c51d2804071197a10x50AFA9383EA476BDF626d6FbA62AFd0b01C8fEa1受害合約地址：0x6102d8a7c963f78d46a35a6218b0db4845d1612f0xa79fe386b88fbee6e492eeb76ec48517d1ec759a

機構H.C.Wainwright&Co：嘉楠科技的基本面良好，看好其北美市場發展:7月8日消息，美國東部時間7月6日，據投行機構H.C.Wainwright&Co發布的研究報告，首次覆蓋嘉楠科技(Nasdaq:CAN)并給予買入評級。

H.C.Wainwright&Co指出，嘉楠科技在礦機性能、客戶關系、聯合挖礦和在美國市場建立運營實體方面取得了明顯改善。該機構進一步指出，嘉楠科技正在為未來投資，并在美國加州圣何塞建立了業務基地，與北美的礦工客戶群體建立更牢固的聯系。自今年晚些時候起，挖礦業務有可能提振嘉楠科技的業績表現。

H.C.Wainwright&Co認為嘉楠科技的基本面良好，并看到該公司的一系列優勢。[2022/7/8 2:00:50]

攻擊過程

Uniswap目前是以太坊上最大的Gas消耗者:CoinDesk發文稱，去中心化交易Uniswap目前是以太坊上最大的Gas消耗者。在過去8個小時內，Uniswap負責了網絡上發起的所有交易的近30%。自11月13日以來，Uniswap一直是費用使用最多的去中心化應用程序（DApp）。排在第二位的是Tether，占以太坊總費用的11％，該公司于2019年開始將其代幣供應轉移到以太坊。[2020/12/22 16:01:38]

1.獲取啟動資金

首先黑客通過閃電貸從WUSD-USDT池中借出1,683萬WUSD

動態 | FoundationTipJar和MyEtherWallet成以太坊基金會捐贈最多項目:Longhash最近發布的一份報告，披露了獲得捐款金額最高的項目，在搜索“donate”之后，他們總共找到了21個捐贈地址，其次是Etherscan上的“accounts”。報告進一步指出，他們通過調查這21個地址的歷史查詢，收集了所有捐贈給這21個地址的資料。有些項目地址被標記為捐款，但沒有收到任何ETH，推測原因是該項目未能吸引社區的“任何興趣”收到捐款最多的地址屬于FoundationTipJar。截至發稿時，該地址收到4 570.89 ETH，相當于600 660.65美元，這個地址可能是以太坊基金會的捐贈地址，該基金會是一個致力于促進和改進以太坊和基層研究的。排在第二位的是“MyEtherWallet”，所涉款項共計1935.60 ETH，相當于255 692美元。[2019/3/14]

接著通過WUSDMaster銷毀WUSD獲得1,503萬USDT和1.065億WEX

黑客再通過閃電貸從PancakeSwap借出4,000萬USDT，并將其中2,300萬USDT兌換為WEX

2.攻擊階段

黑客向WUSDMaster重復的進行質押USDT以獲得WUSD，此過程WUSDMaster會自動將部分USDT置換為WEX

最后將手中的WEX兌換為USDT

3.離場

黑客歸還閃電貸并將獲利代幣通過兌換為ETH，再通過AnySwap跨鏈離場。

攻擊過程涉及原理分析

其實原理很簡單，就是黑客利用閃電貸低價大量買入WEX，再通過向WUSDMaster質押USDT拉升WEX價位，最后再拋售獲利。

那為什么WUSDMaster在接收質押時會拉升WEX價位？

在攻擊過程分析中我們可以看到，黑客質押USDT獲取WUSD時，WUSDMaster合約自動將一部分USDT兌換為WEX

觀察源碼

很明顯當大量質押交易產生時會導致交易對中的WEX大量下降，其價值會迅速拉升，此時黑客拋售WEX就能獲取巨額利潤。

總結

近期，BSC鏈上頻頻爆發攻擊事件，合約安全愈發需要得到迫切重視，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：USDWUSDWEXUSDTusdt幣提現到銀行卡會凍結嗎WUSD幣wex幣價格泰達幣usdt能投資嗎

幣贏