Wault Finance 閃電貸安全事件分析_USD:南瓜usdt幣

前言

8月4日，知道創宇區塊鏈安全實驗室?監測到BSC鏈上的DeFi協議WaultFinance遭遇閃電貸襲擊，價值跌落近半。實驗室第一時間跟蹤本次事件并分析。

涉及對象

攻擊合約地址：0xaa895873a268a387e38bd841c51d2804071197a10x50AFA9383EA476BDF626d6FbA62AFd0b01C8fEa1受害合約地址：0x6102d8a7c963f78d46a35a6218b0db4845d1612f0xa79fe386b88fbee6e492eeb76ec48517d1ec759a

LaunchZone的早期合約Bscex SwapX存在漏洞導致近780萬美元資金被盜，超3.4萬個地址面臨風險:3月27日消息，據Scam Sniffer監測，LaunchZone的早期合約Bscex SwapX存在漏洞，目前已有7799856美元的資金被盜。在早期批準該合約的用戶面臨風險。34065個地址處于危險之中，請用戶盡快檢查并撤銷授權。

慢霧創始人余弦對此評論稱，誰能想到2～3年前錢包地址授權的一個項目出漏洞，許多用戶一直沒取消授權，有黑客就不斷監測這些存在授權風險敞口的錢包地址，一旦發現有資金就盜走。[2023/3/27 13:28:47]

攻擊過程

瑞典郵政服務公司與Warpin合作對員工進行元宇宙培訓:金色財經報道，瑞典郵政服務公司PostNord與總部位于斯德哥爾摩的元宇宙公司Warpin合作，對其員工進行元宇宙培訓。PostNord和Warpin已經創建了一系列虛擬學習模塊，可以通過虛擬現實(VR)耳機訪問。員工可以在模擬的學習環境中學習整理包裹、操作車輛等任務。此外，虛擬現實學習模塊的效率比電子學習高出80%，因為它們讓員工沉浸在工作環境中。與傳統的課堂培訓相比，它們節省了時間和金錢，這是一個額外的好處。（cryptoslate）[2022/4/28 2:37:12]

1.獲取啟動資金

JustSwap白名單上SSK疑似為假幣:9月23日，JustSwap白名單上SSK疑似為假幣。根據SunStake（SSK）官方消息，SSK代幣地址：TW1sqqq7UphAqGNHDXSLXsEainYHJuQeyC。而JustSwap上的SSK代幣地址為：TYbtUJpoAos99Kt3ih81s6P8TZ1ATTv6Cj。（律動BlockBeats）[2020/9/23]

首先黑客通過閃電貸從WUSD-USDT池中借出1,683萬WUSD

接著通過WUSDMaster銷毀WUSD獲得1,503萬USDT和1.065億WEX

黑客再通過閃電貸從PancakeSwap借出4,000萬USDT，并將其中2,300萬USDT兌換為WEX

2.攻擊階段

黑客向WUSDMaster重復的進行質押USDT以獲得WUSD，此過程WUSDMaster會自動將部分USDT置換為WEX

最后將手中的WEX兌換為USDT

3.離場

黑客歸還閃電貸并將獲利代幣通過兌換為ETH，再通過AnySwap跨鏈離場。

攻擊過程涉及原理分析

其實原理很簡單，就是黑客利用閃電貸低價大量買入WEX，再通過向WUSDMaster質押USDT拉升WEX價位，最后再拋售獲利。

那為什么WUSDMaster在接收質押時會拉升WEX價位？

在攻擊過程分析中我們可以看到，黑客質押USDT獲取WUSD時，WUSDMaster合約自動將一部分USDT兌換為WEX

觀察源碼

很明顯當大量質押交易產生時會導致交易對中的WEX大量下降，其價值會迅速拉升，此時黑客拋售WEX就能獲取巨額利潤。

總結

近期，BSC鏈上頻頻爆發攻擊事件，合約安全愈發需要得到迫切重視，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：USDWUSDWEXUSDTusdt幣交易違法嗎3日凍結會解除么WUSD幣wex幣為什么不能充值南瓜usdt幣

世界幣