Dot Finance閃電貸安全事件分析
前言
8 月 25 日,知道創宇區塊鏈安全實驗室 監測到 BSC 鏈上的 DeFi 協議 Dot Finance 遭遇閃電貸襲擊,價值跌落近 35%。實驗室第一時間跟蹤本次事件並分析。
涉及對象
黑客地址:
0xDFD78a977c08221822F6699AD933869Da6d9720C
攻擊合約地址:
0x33f9bB37d60Fa6424230e6Cf11b2d47Db424C879
受害合約地址:
0x16fd050f05f8fc361cf9083aa3f624a2bf7e914d0xbfca3b1df0ae863e966b9e35b9a3a3fee2ad8b07
攻擊涉及主要函數分析
分析交易哈希:
0x68170a309ab2e944e178ccf9bf6f19e25a3f356031ce53539bb9669fc77172f2
swap函數
1.整個交易都始於 PancakePair swap函數
2.為攻擊提供資金支持
get reward 函數
1.使用 balanceOf(address(this)) 獲取 CAKE 代幣余額
2.通過 CAKE 代幣余額來鑄造獎勵
簡要過程及原理分析
1.黑客使用 PancakeSwap 閃電貸獲得初始資金 100 Cake 代幣;
2.通過將 Cake 代幣 打入 VaultPinkBNB 合約,來影響 getReward 函數獲取合約 Cake 代幣真實值,同時 performanceFee 參數受 Cake 代幣真實值影響數值巨大;
3.最後 mintFor 函數使用受影響的 performanceFee 參數向黑客鑄造大量 pink 代幣獎勵;
總結
此次攻擊屬於 PancakeBunny 同類型的攻擊事件,迄今為止此類攻擊事件已發生多次,知道創宇區塊鏈安全實驗室再次提醒,近期 BSC 鏈上頻頻爆發攻擊事件,合約安全愈發需要得到迫切重視,合約審計、風控措施、應急計劃等都有必要切實落實。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
突破傳統預言機:Chaos Labs 發布 Edge,如何保障超 300 億美元交易的安全?
從隱祕中嶄露頭角:Edge Oracle Network 今天,@chaos_labs 推出了 E...
mETH協議將迎來爆發:參與Methamorphosis活動,解鎖$COOK空投和重質押收益
mETH協議正在“COOK-ing”。$mETH已經是第四大ETH LST,有50萬枚$ETH被質...
Hypernative 榮獲1600 萬美元融資,如何打造 Web3 安全防线
隨着 DeFi 的不斷發展,安全性仍然是該生態系統面臨的重大挑战,每年因安全問題而導致的資產損失高...
特朗普強勢入局加密市場!DeFi項目首度曝光,創始團隊引發軒然大波
World Liberty Financial 白皮書中列出的四名團隊成員之前曾在 Dough F...