JulSwap閃電貸攻擊分析及事件后續_JUL:JULB價格

事件起因

2021年5月28日，有消息稱BSC鏈上DEX協議、自動化的流動性協議的JulSwap遭到閃電貸攻擊，知道創宇區塊鏈安全實驗室第一時間展開分析并將攻擊結果簡訊分享給大家，供參考研究。

事件分析

攻擊者交易：https://bscscan.com/tx/0x1751268e620767ff117c5c280e9214389b7c1961c42e77fc704fd88e22f4f77a攻擊合約地址：0x7c591aab9429af81287951872595a17d5837ce03

Julian Lennon正在出售披頭士樂隊紀念品NFT:1月29日消息，朱利安·列儂（Julian Lennon）正在出售披頭士樂隊和約翰·列儂（John Lennon）的紀念品NFT，不包括實物。該系列NFT包括保羅·麥卡特尼（Paul McCartney）關于歌曲\"Hey Jude\"的手寫筆記，以及約翰·列儂（John Lennon）在樂隊里穿的衣服。

“Hey Jude”筆記的出價將從30000美元開始，而John Lennon穿著的黑色斗篷和阿富汗外套將分別以8000美元和6000美元的價格進入拍賣行。用戶還將有機會競拍列儂擁有的幾把吉他NFT，每把吉他NFT的開盤價為4000美元。

據了解，Julian Lennon是John Lennon和前妻Cynthia的兒子。該系列NFT是通過與YellowHeart合作在Polygon上構建的。Julian Lennon發推稱，競標的部分收益將捐贈給基金會White Feather Foundation，用于抵消NFT的碳足跡。（Cryptoglobe）[2022/1/29 9:21:51]

動態 | 瑞士私人銀行Julius Baer推出數字資產交易和托管服務:瑞士私人銀行和財富管理集團Julius Baer宣布與瑞士加密貨幣銀行SEBA合作，推出數字資產交易和托管服務。Julius Baer產品的詳細信息目前尚未透露，但其公告表明該公司將利用Seba的專有平臺和功能。（cointelegraph）[2020/1/27]

1.通過交易記錄可以看出攻擊者通過閃電貸借到70000個JULB代幣，然后調用JULB-WBNB的交易對進行兌換得到1400個BNB，這時攻擊合約中就有了1400個WBNB。2.隨后攻擊合約調用JulProtocolV2合約的addBNB函數進行抵押挖礦。該函數的功能就是通過轉入WBNB，合約會計算出相應需要多少JULB代幣進行添加流動性挖礦，隨后會記錄轉入的WBNB的數量用于抵押挖礦，函數代碼如下所示。

動態 | 曾被指控參與金字塔騙局的Julian Hosp正為其新項目尋求募資:TenX（PAY）創始人Julian Hosp曾被指控拋售220萬PAY枚代幣，并參與了澳大利亞的金字塔騙局Lyoness。但根據其于11月14日發布的推文，Hosp正在為他的新產品Defi Blockchain從機構及合格投資者處尋求750萬美元募資。（Bitcoin Exchange Guide）[2019/11/18]

3.由于閃電貸兌換了WBNB，所以JulProtocolV2合約錯誤的計算出了14.4w個JULB代幣能與515個WBNB去交易對中添加流動性，并把lp代幣轉入了JulProtocolV2合約。此時攻擊合約還剩下885個WBNB。4.攻擊者再用剩下的WBNB兌換為JULB，由于pair中添加了大量的JULB代幣的流動性，所以在兌換時只需要363個WBNB就可以兌換出7w個JULB代幣用于還貸，合約還剩下885-363=522個WBNB，最后把這些WBNB轉入錢包地址，攻擊者就完成了一次閃電貸套利。

事件后續

JULBSWAP的CEO在twitter中發推文稱此次事件由于閃電貸造成的兌換套利，官方將在后續更換新的版本并嘗試開始回購JULB代幣用于補償用戶。后續事件如果有新進展，實驗室將會持續跟進，同時我們提醒各大項目方在defi項目中一定要做好代碼審計測試，特別是在一些原有功能需求的更改上一定要做好數據測試和安全控制。

Tags：JULBNBWBNBJULBJULD價格DecentraBNBWBNB價格JULB價格

KuCoin