Wault Finance 閃電貸安全事件分析-ODAILY_USDT

前言

8月4日，知道創宇區塊鏈安全實驗室監測到BSC鏈上的DeFi協議WaultFinance遭遇閃電貸襲擊，價值跌落近半。實驗室第一時間跟蹤本次事件并分析。

涉及對象

攻擊合約地址：0xaa895873a268a387e38bd841c51d2804071197a10x50AFA9383EA476BDF626d6FbA62AFd0b01C8fEa1受害合約地址：0x6102d8a7c963f78d46a35a6218b0db4845d1612f0xa79fe386b88fbee6e492eeb76ec48517d1ec759a

Mintscan推出智能合約驗證功能，已上線Cosm Wasm和Juno Network:金色財經消息，驗證節點基礎設施Cosmostation宣布基于Cosmos-SDK網絡的區塊瀏覽器Mintscan推出智能合約驗證新功能，現已上線Cosmos生態智能合約平臺鏈Cosm Wasm和Juno Network。

Cosmostation表示，智能合約驗證并不審計代碼，驗證后不代表代碼是安全的，僅表示校驗一致。下一步，Mintscan將把智能合約可視化拓展到其他鏈，將在第二季度和IBCwallet合作推出系列新功能。[2022/4/1 14:31:45]

攻擊過程

YouSwap7月第3周銷毀131479個YOU:據官方數據，YouSwap上周銷毀131479個YOU,YOU總銷毀數量達到996518 ，平臺挖礦產出12357144 個YOU，當前YOU總流通量為13872670 。

截至7月19日21:00，YouSwap累計交易總額達105669695USDT，累計挖礦總產值1618091USDT。[2021/7/20 1:03:34]

1.獲取啟動資金

首先黑客通過閃電貸從WUSD-USDT池中借出1,683萬WUSD

掌柜調查署｜Waves重啟中國社區 劍指Defi、跨鏈、企業應用三大市場:7月17日晚19:00，百大公鏈項目Waves將在金色財經直播間宣布回歸中國社區的重大消息。離開中國市場的這兩年里，Waves都做了什么，有什么樣的發展？未來又會有什么規劃？選擇在這個時間點回歸中國社區，又有什么寓意所在呢？更多詳情，敬請鎖定金色財經直播間！[2020/7/17]

接著通過WUSDMaster銷毀WUSD獲得1,503萬USDT和1.065億WEX

黑客再通過閃電貸從PancakeSwap借出4,000萬USDT，并將其中2,300萬USDT兌換為WEX

2.攻擊階段

黑客向WUSDMaster重復的進行質押USDT以獲得WUSD，此過程WUSDMaster會自動將部分USDT置換為WEX

最后將手中的WEX兌換為USDT

3.離場

黑客歸還閃電貸并將獲利代幣通過兌換為ETH，再通過AnySwap跨鏈離場。

攻擊過程涉及原理分析

其實原理很簡單，就是黑客利用閃電貸低價大量買入WEX，再通過向WUSDMaster質押USDT拉升WEX價位，最后再拋售獲利。

那為什么WUSDMaster在接收質押時會拉升WEX價位？

在攻擊過程分析中我們可以看到，黑客質押USDT獲取WUSD時，WUSDMaster合約自動將一部分USDT兌換為WEX

觀察源碼

很明顯當大量質押交易產生時會導致交易對中的WEX大量下降，其價值會迅速拉升，此時黑客拋售WEX就能獲取巨額利潤。

總結

近期，BSC鏈上頻頻爆發攻擊事件，合約安全愈發需要得到迫切重視，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：USDSDTUSDTWUSDUSDEBT價格wstUSDTUSDT幣提現涉嫌洗錢嗎WUSD幣

瑞波幣