前言
11月13日,知道创宇区块链安全实验室?监测到BSC上的DeFi协议welnance.finance遭遇闪电贷价格操控攻击。实验室第一时间对本次事件深入跟踪并进行分析。
事件分析
流程
1.攻击者从WBNB-BUSD闪电贷1,000,000BUSD
2.在pancakeSwap的USD-WEL交易对中用1,000,000BUSD换取169,882WEL
IOTA联合创始人:即将推出智能合约,未来将升级主网并实现完全去中心化:10月14日消息,针对即将推出的智能合约,IOTA联合创始人Dominik Schiener表示,非常有信心为整个智能合约市场提供令人兴奋的新架构和协议。“IOTA Foundation的下一步是升级主网并将IOTA完全去中心化。我应该提到的是,我们显然正在将智能合约和数字资产引入到主网。目标是在IOTA 2.0登陆主网之前,我们将在主网上拥有智能合约。在接下来的几个月里,我们允许生态系统开发新的创新,以便到明年它们基本上可以在主网上发布。有很多事情要做!”
此外,Dominik Schiener表示,自己的加密投资组合里全部是IOTA,不包含比特币等其他代币。“我确实有一些以太坊代币,主要是为了实验。用于尝试DeFi应用。主要是我只持有IOTA代币。但我通常建议人们分散投资,拥有一篮子资产,去尝试新事物。”(U.Today)[2021/10/14 20:29:52]
3.发送80枚WEL到wlWEL,获取到4,056wlWEL
区块链去中心化贷款市场Skeps完成950万美元A轮融资,贝塔斯曼领投:9月2日消息,区块链去中心化贷款市场Skeps宣布完成950万美元A轮融资,贝塔斯曼印度投资公司(Bertelsmann India Investments)领投,原有投资者Accel参投。新资金将用于扩大销售、营销、工程和产品团队,扩大商家和贷方客户群,并拓展更多服务。Skeps使用私有企业区块链以合规和安全的方式创建去中心化贷款市场。过去18个月为逾10亿美元的贷款评估提供了支持,批准率达80%。它为商家与贷方或银行之间提供了有效的去中心化匹配解决方案。Skeps称银行可使用其技术与金融科技公司在先买后付(BNPL)进行竞争。贝塔斯曼印度合伙人Rohit Sood说:“Skeps是我们在过去几年中遇到的最具创新性的销售点融资解决方案。”(Businesswire)[2021/9/2 22:54:17]
4.分别从wlUSDT借8,651BUSD、wlBTC借0.06BTC、wlETH借0.7ETH
掌柜调查署 | bloXmove CEO:移动出行运营模式将会是去中心化的,供应商之间的交互是通过分布式记账完成的:在今日举行的《掌柜调查署 | 呼吁出行巨头停止聚合开始协作》直播中,针对“移动出行涉及到许多不同的运营主体,在去中心化的模式下,bloXmove将如何协调不同运营主体间的协作与利益?”的问题,德国柏林bloXmove CEO Sophia表示,从更传统的移动出行看,运营模式也将会是去中心化的,这意味着生态系统或技术不属于任何一个个体,它是一个基于合作合约的集体,合作伙伴在进入bloXmove的生态系统之初就定义了这个合约。bloXmove团队正在促进我们的生态系统合作伙伴(也就是客户)的商业决策,在操作过程中,供应商之间的交互是通过分布式记账和去中心化标识完成的,各方都可以访问交易所需的相关信息——这就是区块链独特的魅力。[2021/8/31 22:47:46]
5.将剩余的169,802WEL兑换成999,893BUSD,并归还第一步的闪电贷
6.将借贷获取的5,994BUSD、0.7ETH、0.06BTC转入攻击者地址
原理分析
通过分析,用户在wlXXX池借贷时首先会调用?comptroller?的?borrowAllowed?方法判断借贷条件是否成立。
然后调用?comptroller?的?enterMarkets?注入wlWEL资产作为质押品进comptroller中。
在?comptroller?的?borrowAllowed?方法中,getHypotheticalAccountLiquidityInternal?方法会计算当前用户的总持仓资产价值是否大于总借贷价值
由于第2步使用巨量BUSD兑换WEL操作,导致WEL价格直线飙升,进而导致第3步的wlWEL价值飙升,攻击合约以此分别向wlBTC,wlETH,wlUSDT借款,最后卖出闪电贷部分获得的WEL,归还BUSD闪电贷离场。
总结
这次闪电贷攻击的核心原因在于对抵押物价值的计算易被操控,使得攻击者通过闪电贷的巨额资金抬高了抵押物的价格,而超额借出了Welnance的wlBTC,wlETH,wlUSDT金库的资产。
此前通过闪电贷操纵价格的攻击事件频发。知道创宇区块链安全实验室?在此提醒,任何有关资金问题的操作都需要慎重考虑,合约审计、风控措施、应急计划等都有必要切实落实。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。