welnance.finance 事件分析_ETH

前言

11月13日，知道創宇區塊鏈安全實驗室?監測到BSC上的DeFi協議welnance.finance遭遇閃電貸價格操控攻擊。實驗室第一時間對本次事件深入跟蹤并進行分析。

事件分析

流程

1.攻擊者從WBNB-BUSD閃電貸1,000,000BUSD

2.在pancakeSwap的USD-WEL交易對中用1,000,000BUSD換取169,882WEL

普京簽署關于在俄羅斯引入數字盧布的法律:金色財經報道，根據一份官方文件，俄羅斯總統弗拉基米爾·普京于7月24日簽署了數字盧布法案，俄羅斯正在推進其中央銀行數字貨幣(CBDC)。經批準，數字盧布法現已正式定于2023年8月1日生效，除一項規則外，所有規則均已準備好執行。第三條包括對幾項俄羅斯聯邦法律的修訂，其中包括與破產和遺產有關的法律，預計將于明年8月生效。

新立法正式授權俄羅斯央行在8月份推出首個面向真正消費者的CBDC試點。此前，政府預計將在4月份與13家當地銀行合作推出試點，其中包括俄羅斯聯邦儲蓄銀行(Sberbank)等重要銀行。

根據新簽署的法律，俄羅斯央行將成為數字盧布基礎設施的主要運營商，并將對所有存儲的資產負責。數字盧布的設計目的是作為一種支付和轉賬方式，而不是用于投資目的。[2023/7/24 15:55:53]

3.發送80枚WEL到wlWEL，獲取到4,056wlWEL

數據：ETH波段交易巨鯨于今日凌晨1:30買入8800枚ETH:6月6日消息，據鏈上數據分析師余燼監測，昨晚市場下跌后，其監測的某個 ETH 波段交易巨鯨地址于今日凌晨 1:30 將 1590 萬 USDT 轉入 Binance 平臺，半小時后從 Binance 提幣 8800 枚 ETH，買入均價可能為 1807 美元。

據悉，該地址此前于 5 月 29 日 ETH 上漲后將 23,085 枚 ETH（價值約合 4416 萬美元）轉入 Binance，當時 ETH 價格為 1913 美元。[2023/6/6 21:18:15]

4.分別從wlUSDT借8,651BUSD、wlBTC借0.06BTC、wlETH借0.7ETH

Nansen：Gitcoin以52 ETH拋售Quadratic Funding Signature Edition:3月9日消息，據區塊鏈分析公司Nansen披露數據顯示，Gitcoin以52 ETH（約合8萬美元）的價格拋售NFT：Quadratic Funding Signature Edition 12/12，買家為AQUA.xyz聯合創始人@ OhhShiny。

分析顯示，Quadratic Funding Open Edition目前已經出現潛在拋售壓力，“oxb6c”開頭地址已鑄造725個NFT（占到總供應量的約8%），目前已在0.32-0.34 ETH價格區間拋售4個NFT，當前持有量為721枚。

此外Nansen數據還顯示，當前麻吉大哥黃立成是Quadratic Funding NFT的第二大持有者。[2023/3/9 12:51:39]

5.將剩余的169,802WEL兌換成999,893BUSD，并歸還第一步的閃電貸

6.將借貸獲取的5,994BUSD、0.7ETH、0.06BTC轉入攻擊者地址

原理分析

通過分析，用戶在wlXXX池借貸時首先會調用?comptroller?的?borrowAllowed?方法判斷借貸條件是否成立。

然后調用?comptroller?的?enterMarkets?注入wlWEL資產作為質押品進comptroller中。

在?comptroller?的?borrowAllowed?方法中，getHypotheticalAccountLiquidityInternal?方法會計算當前用戶的總持倉資產價值是否大于總借貸價值

由于第2步使用巨量BUSD兌換WEL操作，導致WEL價格直線飆升，進而導致第3步的wlWEL價值飆升，攻擊合約以此分別向wlBTC,wlETH，wlUSDT借款，最后賣出閃電貸部分獲得的WEL，歸還BUSD閃電貸離場。

總結

這次閃電貸攻擊的核心原因在于對抵押物價值的計算易被操控，使得攻擊者通過閃電貸的巨額資金抬高了抵押物的價格，而超額借出了Welnance的wlBTC,wlETH，wlUSDT金庫的資產。

此前通過閃電貸操縱價格的攻擊事件頻發。知道創宇區塊鏈安全實驗室?在此提醒，任何有關資金問題的操作都需要慎重考慮，合約審計、風控措施、應急計劃等都有必要切實落實。

來源：金色財經

Tags：ETHUSDNANBUSDethw幣最新價格行情busd幣價格今日價格banana幣怎么樣busd幣什么時候退市

FTX