Wault Finance 閃電貸安全事件分析_USD

前言

8月4日，知道創宇區塊鏈安全實驗室?監測到BSC鏈上的DeFi協議WaultFinance遭遇閃電貸襲擊，價值跌落近半。實驗室第一時間跟蹤本次事件并分析。

涉及對象

攻擊合約地址：0xaa895873a268a387e38bd841c51d2804071197a10x50AFA9383EA476BDF626d6FbA62AFd0b01C8fEa1受害合約地址：0x6102d8a7c963f78d46a35a6218b0db4845d1612f0xa79fe386b88fbee6e492eeb76ec48517d1ec759a

YouSwap將于6月30日18:00新增AXS/YOU 流動性挖礦:據官方最新消息，YouSwap將于6月30日18:00（UTC+8）于ETH鏈開拓區新增開啟AXS/YOU流動性挖礦，用戶可以通過質押以上幣對的LP來挖礦YOU。

截至6月30日15:00 ，YouSwap累計交易總額達87864938 USDT，累計挖礦總產值4,499,635USDT。[2021/6/30 0:17:35]

攻擊過程

1.獲取啟動資金

首先黑客通過閃電貸從WUSD-USDT池中借出1,683萬WUSD

閃兌平臺SwapSwop宣布支持合規穩定幣HUSD:據官方消息，閃兌平臺SwapSwop已經正式支持合規穩定幣HUSD。SwapSwop是新晉的閃兌平臺，目前已經支持上百種數字資產的相互兌換。

HUSD是由Stable Universal 發行的合規穩定幣，與美元1:1錨定。HUSD已經在數字資產交易、支付、DeFi等應用中落地，致力于為用戶提供安全、穩定、便捷的數字資產服務。[2020/9/7]

現場 | Sunny Aggarwal：區塊鏈變成了一個計算市場:金色財經現場報道，全球區塊鏈開發者大會 GBDC 2018 Day2 會議正在進行，會上Cosmos 研究員Sunny Aggarwal表示，2010-2014年是第一代區塊鏈的發展，很多人用比特幣代碼庫進行分叉來開發，但比較難以理解；此后以太坊讓開發更容易，但沒有辦法控制整個生態系統，需要去接受其他人的決定，比如用ETH來支付GAS，還要用他們的賬戶模型。而Cosmos SDK 第三代出現后，讓開發者更容易使用，允許簡單接入的模塊進行選擇，因此區塊鏈變成了一個計算市場。[2018/12/17]

接著通過WUSDMaster銷毀WUSD獲得1,503萬USDT和1.065億WEX

黑客再通過閃電貸從PancakeSwap借出4,000萬USDT，并將其中2,300萬USDT兌換為WEX

2.攻擊階段

黑客向WUSDMaster重復的進行質押USDT以獲得WUSD，此過程WUSDMaster會自動將部分USDT置換為WEX

最后將手中的WEX兌換為USDT

3.離場

黑客歸還閃電貸并將獲利代幣通過兌換為ETH，再通過AnySwap跨鏈離場。

攻擊過程涉及原理分析

其實原理很簡單，就是黑客利用閃電貸低價大量買入WEX，再通過向WUSDMaster質押USDT拉升WEX價位，最后再拋售獲利。

那為什么WUSDMaster在接收質押時會拉升WEX價位？

在攻擊過程分析中我們可以看到，黑客質押USDT獲取WUSD時，WUSDMaster合約自動將一部分USDT兌換為WEX

觀察源碼

很明顯當大量質押交易產生時會導致交易對中的WEX大量下降，其價值會迅速拉升，此時黑客拋售WEX就能獲取巨額利潤。

總結

近期，BSC鏈上頻頻爆發攻擊事件，合約安全愈發需要得到迫切重視，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：USDSDTUSDTWUSDtrustwallet沒有usdtgusdt幣價格泰達幣USDT官網WUSD幣

歐易交易所