Dot Finance閃電貸安全事件分析
前言
8 月 25 日,知道創宇區塊鏈安全實驗室 監測到 BSC 鏈上的 DeFi 協議 Dot Finance 遭遇閃電貸襲擊,價值跌落近 35%。實驗室第一時間跟蹤本次事件並分析。
涉及對象
黑客地址:
0xDFD78a977c08221822F6699AD933869Da6d9720C
攻擊合約地址:
0x33f9bB37d60Fa6424230e6Cf11b2d47Db424C879
受害合約地址:
0x16fd050f05f8fc361cf9083aa3f624a2bf7e914d0xbfca3b1df0ae863e966b9e35b9a3a3fee2ad8b07
攻擊涉及主要函數分析
分析交易哈希:
0x68170a309ab2e944e178ccf9bf6f19e25a3f356031ce53539bb9669fc77172f2
swap函數
1.整個交易都始於 PancakePair swap函數
2.為攻擊提供資金支持
get reward 函數
1.使用 balanceOf(address(this)) 獲取 CAKE 代幣余額
2.通過 CAKE 代幣余額來鑄造獎勵
簡要過程及原理分析
1.黑客使用 PancakeSwap 閃電貸獲得初始資金 100 Cake 代幣;
2.通過將 Cake 代幣 打入 VaultPinkBNB 合約,來影響 getReward 函數獲取合約 Cake 代幣真實值,同時 performanceFee 參數受 Cake 代幣真實值影響數值巨大;
3.最後 mintFor 函數使用受影響的 performanceFee 參數向黑客鑄造大量 pink 代幣獎勵;
總結
此次攻擊屬於 PancakeBunny 同類型的攻擊事件,迄今為止此類攻擊事件已發生多次,知道創宇區塊鏈安全實驗室再次提醒,近期 BSC 鏈上頻頻爆發攻擊事件,合約安全愈發需要得到迫切重視,合約審計、風控措施、應急計劃等都有必要切實落實。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
GLIF代幣空投:Filecoin最大DeFi協議开啓一億枚代幣的分發!
Glif是Filecoin上最大的DeFi協議,正在推出其原生代幣。總計將向用戶空投1億枚GLIF...
World Liberty Financial能否改變穩定幣遊戲規則?
特朗普加密項目“World Liberty”計劃發行穩定幣,消息人士稱據悉,特朗普加密項目計劃推出...