XSURGE閃電貸攻擊事件分析-ODAILY_SUSHI

一．事件背景

8月17日，有消息爆出BSC上DeFi協議XSURGE遭到閃電貸攻擊，被盜金額價值500萬美金。知道創宇區塊鏈安全實驗室迅速展開分析。

二．攻擊合約及交易

攻擊合約地址：

0x1514AAA4dCF56c4Aa90da6a4ed19118E6800dc46

0xScope：BAYC #8811曾被出價650 ETH目前僅剩28 ETH:金色財經報道，據0xScope監控顯示，BAYC #8811目前的最高報價是28枚ETH(5.5萬美元)。它的持有者以0.08 ETH的成本鑄造它，現在仍然是持有人。2021年9月17日，它曾被出價650 ETH(220萬美元)的價格，但主人拒絕出售。[2023/7/3 22:14:44]

攻擊交易鏈接：

https://bscscan.com/tx/0x7e2a6ec08464e8e0118368cb933dc64ed9ce36445ecf9c49cacb970ea78531d2

加密基金DeFi Wonderland發布全面整改SushiSwap的提案，包括提議棄用xSUSHI模型:4月21日消息，加密基金DeFi Wonderland發布全面整改SushiSwap的提案，提案的內容包括棄用xSUSHI并將本屬于xSUSHI的收益轉移至SushiDAO；提高透明度，包括公布財務路線圖、公開預算和支出信息、公開多簽錢包轉移資金至財庫的數據；財庫資產多元化；組件技術工作組、生態增長工作組、多鏈工作組、研發工作組四個團隊分管SushiSwap的各項發展事務；啟用veSUSHI代幣經濟模型；添加去中心化前端；擴展至非EVM網絡。

DeFi Wonderland表示，他們希望 SushiSwap提供500萬枚SUSHI來支持他們的行動，代幣的釋放依據SUSHI價格是否達到既定目標來判定。[2022/4/21 14:38:10]

三．事件復盤

公告 | 幣安已完成11月份GAS、ONG、VTHO、NPXS的發放:幣安公告，目前已完成2018年11月份 GAS、ONG、VTHO、NPXS 的發放。[2018/12/7]

分析攻擊交易，攻擊者通過閃電貸借入BNB后購買surge代幣，然后不斷賣出再買入，最后套利離場，分析代幣源代碼可以發現，這次漏洞的原因是因為合約內的sell函數導致的重入漏洞。

sell函數計算完賣出代幣所值BNB數量后，合約會把BNB發送給攻擊合約，但是如果攻擊合約此時在回退函數中又執行了purchase函數，就會導致重入的發生。

觀察此次函數調用產生的影響，由于這是在sell函數中調用的purchase，所以totaslSupply還沒有銷毀掉sell的SurgeToken，導致totalSupply高于正常值，bnbAmount和prevBNBAmount的值會因為94%的手續費問題而有所變化，但也影響不大。

也就是說攻擊者通過買入-賣出-買入的操作，以更低的代幣價格獲取到了更多的surge代幣，值得一提的是因為sell函數中nonReentrant修飾函數的影響，攻擊合約只能重復之前的操作，也說明了防重入修飾函數不能完全解決這種偽重入問題，最好的方法還是限制call函數轉賬調用，用更安全的transfer函數限制轉賬gas消耗。

四．事件總結

最近鏈上安全事件頻繁發生，這次重入漏洞又造成了重大的經濟損失，我們建議各大項目方認真審視自身代碼，做好安全保障。同時官方發文稱將會盡量彌補受害者被盜資金，如有最新進展，我們將會及時跟進。

Tags：USHIUSHSHISUSHISUSHIBAHUSHyooshi幣前景sushi幣騙局

BNB