USD:Wault Finance 闪电贷安全事件分析_WUSD币

前言

8月4日，知道创宇区块链安全实验室?监测到BSC链上的DeFi协议WaultFinance遭遇闪电贷袭击，价值跌落近半。实验室第一时间跟踪本次事件并分析。

涉及对象

攻击合约地址：0xaa895873a268a387e38bd841c51d2804071197a10x50AFA9383EA476BDF626d6FbA62AFd0b01C8fEa1受害合约地址：0x6102d8a7c963f78d46a35a6218b0db4845d1612f0xa79fe386b88fbee6e492eeb76ec48517d1ec759a

Apple要求Coinbase Wallet iOS必须通过其应用内购买系统来支付Gas费:金色财经报道，Coinbase发文称，由于Apple阻止了其上一个应用程序的发布，导致用户无法使用Coinbase Wallet iOS发送NFT。被Apple阻止的原因是，Apple要求Coinbase Wallet iOS必须通过其应用内购买系统来支付发送NFT所需的Gas费，这样他们就能从中收取30%的费用。但目前Apple专有的应用内购买系统并不支持加密应用，因此即使Coinbase尝试了也无法遵守。[2022/12/2 21:16:43]

攻击过程

DEX聚合器ZeroSwap宣布ZeeDO已集成Polygon:3月17日消息，去中心化交易所聚合器ZeroSwap发推称，其初始DEX供应平台ZeeDO已集成以太坊扩容方案Polygon （原Matic Network），使公司能够以无缝的方式筹集资金和进行代币销售。[2021/3/17 18:52:31]

1.获取启动资金

首先黑客通过闪电贷从WUSD-USDT池中借出1,683万WUSD

动态 | PundiX将在8月12日的XWallet系统升级中添加Binance Chain Wallet:据AMBCrypto报道，8月11日，手机加密钱包XWallet背后的公司PundiX labs在推特发布系统升级通知。XWallet系统升级计划于8月12日进行，将在10点30分至14点30分之间持续4个小时。建议用户在维护期间避免通过钱包进行任何交易，如果升级需要的时间超过预期的四个小时，将提前通知社区。 预定的系统升级将为XWallet带来某些变化，包括添加Binance Chain Wallet，以及对PundiX开放平台上列出的Crypto Gift代币的支持。其原生项目f(X)是去中心化互联网的一种形式，目前在主网站上有一个部分，但即将到来的升级将f(X)卡更新为完全成熟的移动应用程序。[2019/8/12]

接着通过WUSDMaster销毁WUSD获得1,503万USDT和1.065亿WEX

黑客再通过闪电贷从PancakeSwap借出4,000万USDT，并将其中2,300万USDT兑换为WEX

2.攻击阶段

黑客向WUSDMaster重复的进行质押USDT以获得WUSD，此过程WUSDMaster会自动将部分USDT置换为WEX

最后将手中的WEX兑换为USDT

3.离场

黑客归还闪电贷并将获利代币通过兑换为ETH，再通过AnySwap跨链离场。

攻击过程涉及原理分析

其实原理很简单，就是黑客利用闪电贷低价大量买入WEX，再通过向WUSDMaster质押USDT拉升WEX价位，最后再抛售获利。

那为什么WUSDMaster在接收质押时会拉升WEX价位？

在攻击过程分析中我们可以看到，黑客质押USDT获取WUSD时，WUSDMaster合约自动将一部分USDT兑换为WEX

观察源码

很明显当大量质押交易产生时会导致交易对中的WEX大量下降，其价值会迅速拉升，此时黑客抛售WEX就能获取巨额利润。

总结

近期，BSC链上频频爆发攻击事件，合约安全愈发需要得到迫切重视，合约审计、风控措施、应急计划等都有必要切实落实。

标签：USDWUSDUSDTSDTusdt币怎么兑换人民币欧意WUSD币南瓜usdt币usdc币与usdt币哪个好

AVAX热门资讯