比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > BNB > Info

XSURGE閃電貸攻擊事件分析-ODAILY_SUSHI

Author:

Time:1900/1/1 0:00:00

一.事件背景

8月17日,有消息爆出BSC上DeFi協議XSURGE遭到閃電貸攻擊,被盜金額價值500萬美金。知道創宇區塊鏈安全實驗室迅速展開分析。

二.攻擊合約及交易

攻擊合約地址:

0x1514AAA4dCF56c4Aa90da6a4ed19118E6800dc46

0xScope:BAYC #8811曾被出價650 ETH目前僅剩28 ETH:金色財經報道,據0xScope監控顯示,BAYC #8811目前的最高報價是28枚ETH(5.5萬美元)。它的持有者以0.08 ETH的成本鑄造它,現在仍然是持有人。2021年9月17日,它曾被出價650 ETH(220萬美元)的價格,但主人拒絕出售。[2023/7/3 22:14:44]

攻擊交易鏈接:

https://bscscan.com/tx/0x7e2a6ec08464e8e0118368cb933dc64ed9ce36445ecf9c49cacb970ea78531d2

加密基金DeFi Wonderland發布全面整改SushiSwap的提案,包括提議棄用xSUSHI模型:4月21日消息,加密基金DeFi Wonderland發布全面整改SushiSwap的提案,提案的內容包括棄用xSUSHI并將本屬于xSUSHI的收益轉移至SushiDAO;提高透明度,包括公布財務路線圖、公開預算和支出信息、公開多簽錢包轉移資金至財庫的數據;財庫資產多元化;組件技術工作組、生態增長工作組、多鏈工作組、研發工作組四個團隊分管SushiSwap的各項發展事務;啟用veSUSHI代幣經濟模型;添加去中心化前端;擴展至非EVM網絡。

DeFi Wonderland表示,他們希望 SushiSwap提供500萬枚SUSHI來支持他們的行動,代幣的釋放依據SUSHI價格是否達到既定目標來判定。[2022/4/21 14:38:10]

三.事件復盤

公告 | 幣安已完成11月份GAS、ONG、VTHO、NPXS的發放:幣安公告,目前已完成2018年11月份 GAS、ONG、VTHO、NPXS 的發放。[2018/12/7]

分析攻擊交易,攻擊者通過閃電貸借入BNB后購買surge代幣,然后不斷賣出再買入,最后套利離場,分析代幣源代碼可以發現,這次漏洞的原因是因為合約內的sell函數導致的重入漏洞。

sell函數計算完賣出代幣所值BNB數量后,合約會把BNB發送給攻擊合約,但是如果攻擊合約此時在回退函數中又執行了purchase函數,就會導致重入的發生。

觀察此次函數調用產生的影響,由于這是在sell函數中調用的purchase,所以totaslSupply還沒有銷毀掉sell的SurgeToken,導致totalSupply高于正常值,bnbAmount和prevBNBAmount的值會因為94%的手續費問題而有所變化,但也影響不大。

也就是說攻擊者通過買入-賣出-買入的操作,以更低的代幣價格獲取到了更多的surge代幣,值得一提的是因為sell函數中nonReentrant修飾函數的影響,攻擊合約只能重復之前的操作,也說明了防重入修飾函數不能完全解決這種偽重入問題,最好的方法還是限制call函數轉賬調用,用更安全的transfer函數限制轉賬gas消耗。

四.事件總結

最近鏈上安全事件頻繁發生,這次重入漏洞又造成了重大的經濟損失,我們建議各大項目方認真審視自身代碼,做好安全保障。同時官方發文稱將會盡量彌補受害者被盜資金,如有最新進展,我們將會及時跟進。

Tags:USHIUSHSHISUSHISUSHIBAHUSHyooshi幣前景sushi幣騙局

BNB
大盤重回四萬六,一眾狗幣們還會回來嗎?-ODAILY_加密貨幣

2021年上半年,動物幣的火爆令人印象深刻,當時SHIB的價格已經從4月初的0.00000006美元飆升至的0.00004美元.

1900/1/1 0:00:00
Popsicle Finance閃電貸攻擊事件分析-ODAILY_ITA

前言 北京時間8月4日上午,知道創宇區塊鏈安全實驗室監測到以太坊上的DeFi協議PopsicleFinance遭遇閃電貸襲擊,目前只有SorbettoFragola受到影響.

1900/1/1 0:00:00
Injective、Perpetual Protocol、dYdX與Vega共話衍生品DEX未來-ODAILY_CTI

編譯:Injective,PerpetualProtocol,dYdX本圓桌完整視頻鏈接:https://www.youtube.com/watch?v=I7Y7fNrMczU本文對圓桌內容進行.

1900/1/1 0:00:00
【虛擬機專欄】智能合約執行引擎的前世今生-ODAILY_STO

Solidity作為最早提出的智能合約語言,它的出現為區塊鏈的應用場景打開了新的大門。 ——緣起—— 智能合約這個術語最早于1994年由跨領域法律學者尼克·薩博?次提出.

1900/1/1 0:00:00
比特幣鏈下交易帶來數十億美元市場,區塊鏈擴容有哪些新機會?-ODAILY_以太坊

概述 2021年年初至今,每周在區塊鏈上轉移的資產金額達到了數千億美元,比特幣、以太坊、USDC和Tether平均每周交易額為2360億美元.

1900/1/1 0:00:00
【共識專欄】HotStuff共識-ODAILY_ARE

——前言—— 我們已經了解到分布式系統一般通過狀態復制機原理來實現一致性。其核心思想是系統中所有副本運行著相同的狀態機,只要所有副本都以相同的初識狀態開始,并基于相同的初識狀態執行一組相同順序的.

1900/1/1 0:00:00
ads