USD:Wault Finance 闪电贷安全事件分析-ODAILY_稳定币USDT行情

前言

8月4日，知道创宇区块链安全实验室监测到BSC链上的DeFi协议WaultFinance遭遇闪电贷袭击，价值跌落近半。实验室第一时间跟踪本次事件并分析。

涉及对象

攻击合约地址：0xaa895873a268a387e38bd841c51d2804071197a10x50AFA9383EA476BDF626d6FbA62AFd0b01C8fEa1受害合约地址：0x6102d8a7c963f78d46a35a6218b0db4845d1612f0xa79fe386b88fbee6e492eeb76ec48517d1ec759a

FastSwap (FAST)项目遭到闪电贷攻击:金色财经报道，据CertiK监测，FastSwap (FAST)项目遭到闪电贷攻击，损失26.77枚BNB（约8812美元）。BSC合约地址：0x3cf0fc9920102CCC2EB4df5E1B3471D555AFb361。

注意：请勿将FastSwap (FAST)与其他同名项目混淆。[2023/3/24 13:23:55]

攻击过程

1.获取启动资金

首先黑客通过闪电贷从WUSD-USDT池中借出1,683万WUSD

YFI创始人等提出新交换功能“Keep3r TWAP”为合成资产定价:2月25日消息，yearn.finance（YFI）创始人Andre Cronje等在合成资产发行平台Synthetix发起提案SIP-115，该提案提出了一种新的交换功能Keep3r TWAP，使用户可以通过结合Chainlink和Keep3r TWAP预言机为合成资产定价，从而无需收费就可以自动交换资产。[2021/2/25 17:50:49]

接着通过WUSDMaster销毁WUSD获得1,503万USDT和1.065亿WEX

OKExChain上线Swap和Farm功能:1月22日，官方消息称OKExChain将于当日18：00（HKT）上线Swap和Farm功能，并开放OKT/USDT Farm 池，OKT也会同步开放提现。OKT/USDT Farm池将于1月26日18：00（HKT）正式开启挖矿。

据悉，在OKExChain主网的稳定性测试期间，根据OKExChain的区块奖励规则，产生了数万枚OKT的区块奖励还未被分配。该奖励将于1月26日18:00（HKT）进行OKT/USDT池白名单投票。若投票通过，将会根据投票通过的区块进行快照，累积的OKT按照用户所质押的OKT-USDT LP Token在Farm池的比例进行分配，分配完毕后，用户可继续通过OKT-USDT Farm池进行挖矿。

公开资料显示，OKExChain是OKEx开发的一条开源的高性能去中心化交易公链，旨在推动基于区块链技术的交易业务落地，并已于1月15日正式主网上线。[2021/1/22 16:45:56]

黑客再通过闪电贷从PancakeSwap借出4,000万USDT，并将其中2,300万USDT兑换为WEX

2.攻击阶段

黑客向WUSDMaster重复的进行质押USDT以获得WUSD，此过程WUSDMaster会自动将部分USDT置换为WEX

最后将手中的WEX兑换为USDT

3.离场

黑客归还闪电贷并将获利代币通过兑换为ETH，再通过AnySwap跨链离场。

攻击过程涉及原理分析

其实原理很简单，就是黑客利用闪电贷低价大量买入WEX，再通过向WUSDMaster质押USDT拉升WEX价位，最后再抛售获利。

那为什么WUSDMaster在接收质押时会拉升WEX价位？

在攻击过程分析中我们可以看到，黑客质押USDT获取WUSD时，WUSDMaster合约自动将一部分USDT兑换为WEX

观察源码

很明显当大量质押交易产生时会导致交易对中的WEX大量下降，其价值会迅速拉升，此时黑客抛售WEX就能获取巨额利润。

总结

近期，BSC链上频频爆发攻击事件，合约安全愈发需要得到迫切重视，合约审计、风控措施、应急计划等都有必要切实落实。

标签：USDUSDTSDTASTUSDR价格稳定币USDT行情YSDTAstra DAO

火必热门资讯