两个大冤种因为套利在一瞬间失去了百万资金..带大家回顾一下现场

2023-07-27 10:15发布

几笔交易赚到100万U?昨天晚些时候,区块链发生了一件大事。说简单点就是两个大冤种在一瞬间失去了百万资金...十七带大家看看怎么回事


首先,有三个主角:大冤种A、套利者B、黑客C


不过这里要注意B其实不是一个人,这期间有非常多套利者都成功套利。但是中间有那么一个大冤种 也就是今天的主角


首先是大冤种A,他在Uniswapv2卖出价值150万U的CUSDC。(CUSDC基本没有什么流动性,他在这笔交易只卖出了大概520U...嗯 数字挺吉利)


第二个是今天的主角:套利者B


其实他也是大冤种之一,因为他的喜悦只维持了不到10分钟,他成功的从Uniswapv2买到了大量低价CUSDC(大概10W u)




看了一下发现不对...还有一笔 这笔才是大头,大概120wu,至于这位怨种为啥要分2笔,我也不太清楚




好戏开始了!大概30分钟左右,攻击者C直接将套利者B的套利合约中的WETH直接清空了!直接拿走1,101.6ETH($1,461,515,32)


有趣的是,攻击者C的攻击合约是在前一天部署的。我估计是打算等B的合约里面有更多资金的时候再动手,没想到好事来的这么突然?


现在套利者B蚌埠住了,给攻击者C发了个留言,要C拿走20%,然后还钱。兄弟们,你们觉得会不会还?


有人大致研究了一下攻击链路,非常简单,黑客构造了一段的代码,然后调用DyDx的SoloMargin合约中的operate方法。这个方法根据传入的参数,可以去调用别的合约代码。于是黑客就调用了套利者B的合约,在他合约内部完成了approve weth到攻击者C地址,然后把WETh转走。