前言
11月13日,知道創宇區塊鏈安全實驗室?監測到BSC上的DeFi協議welnance.finance遭遇閃電貸價格操控攻擊。實驗室第一時間對本次事件深入跟蹤并進行分析。
事件分析
流程
1.攻擊者從WBNB-BUSD閃電貸1,000,000BUSD
2.在pancakeSwap的USD-WEL交易對中用1,000,000BUSD換取169,882WEL
灰度GBTC負溢價率收窄至27.39%:金色財經報道,據Coinglass數據顯示,當前灰度總持倉量約為277.19億美元,其中灰度比特幣信托基金(GBTC)的負溢價率為27.39%;ETH信托負溢價率為38.97%。此外,ETC信托負溢價為51.58%,LTC信托負溢價為33.54%。[2023/7/16 10:57:41]
3.發送80枚WEL到wlWEL,獲取到4,056wlWEL
一巨鯨正在重新買回stETH:金色財經報道,據推特用戶余燼監測,巨鯨錢包0xBoby1337在6月10日以1802美元的價格出售了3,728枚stETH(約671萬美元)。他正在陸續重新買回stETH,目前已花費400萬USDT買回2343枚stETH,均價1707美元。[2023/6/16 21:41:37]
4.分別從wlUSDT借8,651BUSD、wlBTC借0.06BTC、wlETH借0.7ETH
數據:至少持有0.1枚ETH的地址數達8個月低點:金色財經消息,據Glassnode數據顯示,當前至少持有0.1枚ETH的地址數為6,229,974,達8個月低點。[2022/8/4 2:57:37]
5.將剩余的169,802WEL兌換成999,893BUSD,并歸還第一步的閃電貸
6.將借貸獲取的5,994BUSD、0.7ETH、0.06BTC轉入攻擊者地址
原理分析
通過分析,用戶在wlXXX池借貸時首先會調用?comptroller?的?borrowAllowed?方法判斷借貸條件是否成立。
然后調用?comptroller?的?enterMarkets?注入wlWEL資產作為質押品進comptroller中。
在?comptroller?的?borrowAllowed?方法中,getHypotheticalAccountLiquidityInternal?方法會計算當前用戶的總持倉資產價值是否大于總借貸價值
由于第2步使用巨量BUSD兌換WEL操作,導致WEL價格直線飆升,進而導致第3步的wlWEL價值飆升,攻擊合約以此分別向wlBTC,wlETH,wlUSDT借款,最后賣出閃電貸部分獲得的WEL,歸還BUSD閃電貸離場。
總結
這次閃電貸攻擊的核心原因在于對抵押物價值的計算易被操控,使得攻擊者通過閃電貸的巨額資金抬高了抵押物的價格,而超額借出了Welnance的wlBTC,wlETH,wlUSDT金庫的資產。
此前通過閃電貸操縱價格的攻擊事件頻發。知道創宇區塊鏈安全實驗室?在此提醒,任何有關資金問題的操作都需要慎重考慮,合約審計、風控措施、應急計劃等都有必要切實落實。
來源:金色財經
Tags:USDETHBUSDBTCCKUSD幣Ethereum Name ServiceCZBUSDBTC幣下載官方app下載
作者:衛夕指北 從來沒有一個詞像“元宇宙”一樣如此虛無縹緲、如此鏡花水月卻受到如此熱烈的追捧。元宇宙和之前的科技概念不同,以前,在科技圈的一個概念至少是明確而又具體的,比如——“區塊鏈”、“5G.
1900/1/1 0:00:002021年11月24日15:00,XT.COM直播間又開播啦!本期做客直播間的嘉賓是來自INU首席執行官KokashiNakamoto.
1900/1/1 0:00:00原文作者:AlexKroeger 編譯:0x22D 本文梳理自前a16z、0x?Labs、Coinbase成員AlexKroeger在個人社交媒體平臺上的觀點.
1900/1/1 0:00:00近期,人民銀行發布了第三季度的貨幣執行報告,在流動性的提法上刪掉了關于“大水漫灌”和“管好貨幣總閘門”等的相關表述。并且周末關于總理座談會的報告中也表達出對經濟的擔憂.
1900/1/1 0:00:00科技進步與數字化的發展促成了所謂數字經濟的形成,不過對這個術語有許多種解釋,根據其中一種解釋的說法,數字化被理解為一種在混合現實中運行的經濟體.
1900/1/1 0:00:00目前,關于元宇宙的一切仍在爭論之中。如果我們從不同的角度來分析,我們會得到非常不同的結論,但是元宇宙的基本特征已經被業界廣泛認可.
1900/1/1 0:00:00