慢雾科技 14 小时前 10万
背景 2024年6月10日,EVM链上提供数字资产借贷服务的平台UwU Lend遭受攻击,损失约1930万美元。根据慢雾MistEye安全监控系统的监测和分析,我们将此次攻击的详细过程和核心漏洞进行解析。
相关信息
攻击核心 此次攻击的核心在于攻击者通过在CurveFinance的池子中进行大额兑换操作,直接操纵价格预言机,影响sUSDE代币的价格,并利用被操纵后的价格从池子中套取其他资产。
攻击流程
攻击者主要通过反复操纵sUSDE的价格,在低价时进行大量借款,在高价时进行清算和再抵押获利。攻击者利用价格预言机合约sUSDePriceProviderBUniCatch中的现货即时价格和中位数计算价格的兼容缺陷,实现了价格操纵。
MistTrack分析 据链上追踪工具MistTrack分析,攻击者地址在此次攻击中获利约1930万美元,包括ETH、crvUSD、bLUSD和USDC。攻击者将ERC-20代币均换为ETH,通过手续费溯源发现初始资金来自Tornado Cash,并多次接收来自Tornado Cash的资金。
攻击者将1292.98 ETH转移至地址0x48d7c1dd4214b41eda3301bca434348f8d1c5eb6,剩余4000 ETH转移至地址0x050c7e9c62bf991841827f37745ddadb563feb70。MistTrack已将相关地址拉黑,并将持续关注被盗资金的转移动态。
总结 此次攻击的核心在于攻击者利用价格预言机的漏洞,通过操纵sUSDE的价格,在严重价差的情况下进行借贷和清算获取利润。慢雾安全团队建议项目方增强价格预言机的抗操纵能力,设计更为安全的预言机喂价机制,避免类似事件再次发生。