创宇区块链安全实验室2021-06-15 16:17:18
据推文消息,6 月 10 日,BSC 链上的 EvoDeFi 项目遭到闪电贷攻击,知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
分析攻击者:0x8a0a1eb0bae23e4e95608e3aad7fa25b0d907c6c攻击合约:0x1cb6d29c52fd993103eadd0c01209ba000e92459攻击 tx:0x7c3b7f082a5c92b03a878ff5d7c7e645ce3bcd37901808b936b318c4f3cc3880、
子合约 1:0x5eD40eC8Bd35134f273EC8cEaE1170B783FfD8c9子合约 2:0xC3CA2B0dA8faE38b343eC3DcDBec79255C19F397子合约 3:0x79B105423e72E8ae9f4B7972f61fb1126C49a034子合约 4:0x00A8b07a2f8087BD611299396d4C693C385c5c12子合约 5:0x7C5dD8Ec1edd40Fd6c670fc552A4D48bb8BE2d62子合约 6:0x78e480357852a2610951437e764702b8188b36d2MasterChef:0xF1F8E3ff67E386165e05b2B795097E95aaC899F0
攻击流程通过 Pancake 闪电贷借出 273,360.811 GEN
向子合约转账所有 GEN ,调用子合约 0x6ead30df 方法
调用 MasterChef 的 deposit 函数,质押所有 GEN
调用 MasterChef 的 depositNFT 函数,质押 GenNFT
调用 MasterChef 的 updatePower 函数更新,由于 updatePower 函数设计缺陷,未更新 rewardDebt
调用 MasterChef 的 withdraw 函数,赎回质押的所有 GEN,由于上一步的更新缺陷导致奖励增发
通过子合约 transfer 函数将获利的所有 GEN 转回攻击合约 0x1cb6
通过 6 个子合约重复上述 2-7 步骤,最后共计获利 455,576.855 GEN
总结由于 MasterChef 合约中的函数的更新逻辑存在设计缺陷,未更新奖励需要扣除的部分,从而导致被攻击者套利。BSC 链上频频爆发攻击事件,合约安全需要得到足够重视。
以太坊Layer 2必知必会2023-04-26 15:03:27
浅析NFT未来:仅少数项目上涨 出圈项目会成赢家2023-04-26 14:15:26
E-CNY时代来临:当你的工资成为数字人民币2023-04-26 12:43:48
浅谈为什么MEV搜索者矿池并不可行?2023-04-26 12:08:40
"庄家"互撕 曝出加密巨头拉的那些"帮派"2023-04-26 11:59:08
怎样到达Web3世界:使用Web3技术的公司及集成到业务的步骤2023-04-26 11:53:15
稳定币项目 HAI、Starknet 2023 路线图2023-04-26 11:46:35
ChatGPT类产品安全隐患解决?英伟达发布开源工具包2023-04-26 11:26:24
蚂蚁集团发布HOU、AntChainBridge、Web3开放联盟链等多个Web3产品2023-04-26 11:24:46
ChatGPT背后的算力博弈 中国企业亟待打破美国桎梏2023-04-26 10:59:28
简析DWF Labs:出手频繁 颇具争议的加密做市商2023-04-26 10:48:45
NFT 交易平台生存现状研究:后版税战争时代下的龙头之争2023-04-26 09:20:51
以太坊提款功能开启后的带宽使用情况2023-04-26 08:30:24
上海升级提款效应:数据揭示 LSD 项目们的表现2023-04-26 07:28:37
3分钟读懂基于LayerZero的多链抗MEV DEX聚合器Cashmere2023-04-25 20:05:34
对话去中心化流动性质押协议Rocket Pool:如何促进以太坊Staking民主化?2023-04-25 19:02:21
Bankless:欧美都想监管稳定币 他们怎么做?2023-04-25 17:43:44
Coinbase起诉SEC全文:请在合理时间内回应加密规则请愿书2023-04-25 16:43:34
慢雾:Web3 假钱包第三方源调查分析2023-04-25 15:43:36
Binance Sensei介绍:您的Web3 AI导师2023-04-25 13:20:55