Dot Finance閃電貸安全事件分析
前言
8 月 25 日,知道創宇區塊鏈安全實驗室 監測到 BSC 鏈上的 DeFi 協議 Dot Finance 遭遇閃電貸襲擊,價值跌落近 35%。實驗室第一時間跟蹤本次事件並分析。
涉及對象
黑客地址:
0xDFD78a977c08221822F6699AD933869Da6d9720C
攻擊合約地址:
0x33f9bB37d60Fa6424230e6Cf11b2d47Db424C879
受害合約地址:
0x16fd050f05f8fc361cf9083aa3f624a2bf7e914d0xbfca3b1df0ae863e966b9e35b9a3a3fee2ad8b07
攻擊涉及主要函數分析
分析交易哈希:
0x68170a309ab2e944e178ccf9bf6f19e25a3f356031ce53539bb9669fc77172f2
swap函數
1.整個交易都始於 PancakePair swap函數
2.為攻擊提供資金支持
get reward 函數
1.使用 balanceOf(address(this)) 獲取 CAKE 代幣余額
2.通過 CAKE 代幣余額來鑄造獎勵
簡要過程及原理分析
1.黑客使用 PancakeSwap 閃電貸獲得初始資金 100 Cake 代幣;
2.通過將 Cake 代幣 打入 VaultPinkBNB 合約,來影響 getReward 函數獲取合約 Cake 代幣真實值,同時 performanceFee 參數受 Cake 代幣真實值影響數值巨大;
3.最後 mintFor 函數使用受影響的 performanceFee 參數向黑客鑄造大量 pink 代幣獎勵;
總結
此次攻擊屬於 PancakeBunny 同類型的攻擊事件,迄今為止此類攻擊事件已發生多次,知道創宇區塊鏈安全實驗室再次提醒,近期 BSC 鏈上頻頻爆發攻擊事件,合約安全愈發需要得到迫切重視,合約審計、風控措施、應急計劃等都有必要切實落實。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
Arthur Hayes 新文聚焦 | 全球貨幣政策的真相,比特幣接下來何去何從?
作為一名宏觀經濟預測者,我試圖基於公开數據和當前事件,作出能夠指導投資組合資產配置的預測。我喜歡“...
Ouroboros DeFi:為什么 Usual Money 被低估了?
前言:Ouroboros DeFi 方法論在Ouroboros DeFi收益基金,我們的投資策略始...
WEEX 唯客交易所贊助臺北區塊鏈周 支持更多全球用戶Onboard Web3
第三屆臺北區塊鏈周(Taipei Blockchain Week, TBW)於 12 月 12-1...