今日8時04分(HKT),BSC鏈上的元宇宙金融項目Paraluni遭受黑客攻擊,黑客獲利逾170萬美元。據歐科雲鍊鍊上天眼初步分析: 1、攻擊者資金來自PancakeSwap的閃電貸; 2、問題出在項目方MasterCheif合約的depositByAddLiquidity方法,該方法未校驗代幣數組參數address[2] memory _tokens是否和pid參數指向的LP相吻合,在涉及到LP數額變化時,也未加重入鎖。目前黑客在BSC鏈上的地址「0x94bc」的賬戶餘額為3000.01 BNB(約112.58萬美元),另有235.45 ETH(約60.86萬美元)通過cBridge跨鏈到了ETH網絡「0x94bc」。其中約1/3被盜資金(230 ETH)已流入Tornado Cash。該事件提醒我們,在涉及到金額變動的合約方法中,一定要關注重入漏洞,盡量使用重入鎖modifier。鏈上天眼團隊已對相關地址進行了監控,並將進一步跟進事件進展。
dark