- 元宇宙:本站分享元宇宙相關資訊,資訊僅代表作者觀點與平臺立場無關,僅供參考.
背景
2025年1月13日,據慢霧MistEye安全監控系統監測,EVM鏈上的UniLend遭攻擊,損失約19.7萬美元。慢霧安全團隊對該事件展開分析并將結果分享如下:
2.利用閃電貸借入資產:攻擊者通過閃電貸借入60MUSDC和5wstETH,并將wstETH轉換為6stETH。
4.借入目標資產:由于攻擊者事先存入了大量的USDC,于是通過調用borrow函數,可以正常借入60stETH。此時由于借貸,stETHborrowShare增加至60239272000126842038。
6.贖回質押的USDC:攻擊者再次調用redeemUnderlying函數,贖回質押的全部USDC。在redeemUnderlying函數中,首先調用_burnLPposition函數銷毀對應的USDClendShare,此時的USDClendShare還剩下150237398。隨后,合約在checkHealthFactorLtv1函數中檢查健康因子,最后將贖回的USDC轉移給用戶。
7. 完成攻擊并獲利:最終,攻擊者返還閃電貸借入的USDC和wstETH,獲利離場。由于漏洞,攻擊者僅僅質押了200USDC便可獲得60stEth。總結
本次攻擊的核心在于攻擊者利用redeemUnderlying函數使用了池子舊的token余額來計算健康因子,而此時用戶的token尚未從池中轉出,導致健康因子計算結果高于實際情況,系統錯誤地認為用戶的借貸狀態是安全的。攻擊者因此能夠繞過健康因子的正確校驗,*非*法獲取目標資產。慢霧安全團隊建議項目方在健康因子計算過程中,確保資產狀態的實時更新,從而避免類似情況的發生。
免責聲明:以小博大 —— UniLend 被黑事件分析文章轉發自互聯網,版權歸其所有。
文章內容不代表本站立場和任何投資暗示。加密貨幣市場極其波動,風險很高,可能不適合所有投資者。在投資加密貨幣之前,請確保自己充分了解市場和投資的風險,并考慮自己的財務狀況和風險承受能力。此外,請遵循您所在國家的法律法規,以及遵守交易所和錢包提供商的規定。對于任何因使用加密貨幣所造成的投資損失或其他損失,本站不承擔任何責任。
2025-6-16
2025-6-16
2025-6-16
2025-6-16
2025-6-14
2025-5-27
2025-5-31
2025-5-26
2025-5-31
2025-6-02
Copyright © 2021.Company 元宇宙YITB.COM All rights reserved.元宇宙YITB.COM