事件起因
2021年5月28日,有消息称BSC链上DEX协议、自动化的流动性协议的JulSwap遭到闪电贷攻击,知道创宇区块链安全实验室第一时间展开分析并将攻击结果简讯分享给大家,供参考研究。
事件分析
攻击者交易:https://bscscan.com/tx/0x1751268e620767ff117c5c280e9214389b7c1961c42e77fc704fd88e22f4f77a攻击合约地址:0x7c591aab9429af81287951872595a17d5837ce03
Julien Bouteloup:目前ETH价值被低估了:金色财经报道,区块链开发和建设者Julien Bouteloup表示,ETH应被视为基础设施,目前,如果我们看一下去中心化互联网的潜在长期潜力,它相对于其他大型科技股的价值被低估了。在熊市期间,我们看到继续建立新协议的动机越来越少。[2022/12/22 22:01:42]
DEX聚合器1inch.exchange集成JulSwap:3月3日消息,官DEX聚合器1inch.exchange官方宣布集成JulSwap作为流动性提供者。[2021/3/3 18:09:39]
1.通过交易记录可以看出攻击者通过闪电贷借到70000个JULB代币,然后调用JULB-WBNB的交易对进行兑换得到1400个BNB,这时攻击合约中就有了1400个WBNB。2.随后攻击合约调用JulProtocolV2合约的addBNB函数进行抵押挖矿。该函数的功能就是通过转入WBNB,合约会计算出相应需要多少JULB代币进行添加流动性挖矿,随后会记录转入的WBNB的数量用于抵押挖矿,函数代码如下所示。
大西洋智库Julia Friedlander:美国应该加入日本和加拿大对于CBDC在跨国转账应用的开发:美东时间6月24日,在哈佛大学肯尼迪政府学院的贝尔弗中心智库展开了一场由中心主任Aditi Kumar主持的关于数字货币的研讨会。大西洋智库全球经济副主任和前欧盟南欧经济事务主任Julia Friedlander表示,中国央行数字货币和天秤币的进展,以及美国在疫情中暴露出支付系统包容性的落后会同时刺激美联储加快对央行数字货币(CBDC)的研究。监管者目前不希望因为私营企业的每次调整而干预监管政策,但最终会在美联储的领导下制定相应政策。中国政府在领导在数字货币反等方面的国际标准,但这个标准并不完善,应在全球框架下进行修改。美国应该加入日本和加拿大对于CBDC在跨国转账应用的开发。(巴比特)[2020/6/26]
3.由于闪电贷兑换了WBNB,所以JulProtocolV2合约错误的计算出了14.4w个JULB代币能与515个WBNB去交易对中添加流动性,并把lp代币转入了JulProtocolV2合约。此时攻击合约还剩下885个WBNB。4.攻击者再用剩下的WBNB兑换为JULB,由于pair中添加了大量的JULB代币的流动性,所以在兑换时只需要363个WBNB就可以兑换出7w个JULB代币用于还贷,合约还剩下885-363=522个WBNB,最后把这些WBNB转入钱包地址,攻击者就完成了一次闪电贷套利。
事件后续
JULBSWAP的CEO在twitter中发推文称此次事件由于闪电贷造成的兑换套利,官方将在后续更换新的版本并尝试开始回购JULB代币用于补偿用户。后续事件如果有新进展,实验室将会持续跟进,同时我们提醒各大项目方在defi项目中一定要做好代码审计测试,特别是在一些原有功能需求的更改上一定要做好数据测试和安全控制。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。