據慢霧區消息,BSC上的EGD_Finance項目遭受黑客攻擊,導致其池子中資金被非預期的取出。慢霧安全團隊分析如下: 1. 由於EGD_Finance合約中獲取獎勵的claimAllReward函數在計算獎勵時會調用getEGDPrice函數來進行計算EGD的價格, 而getEGDPrice函數在計算時僅通過pair裡的EGD和USDT的餘額進行相除來計算EGD的價格; 2. 攻擊者利用這個點先閃電貸借出池子里大量的USDT, 使得EGD代幣的價格通過計算後變的很小, 因此在調用claimAllReward函數獲取獎勵的時候會導致獎勵被計算的更多, 從而導致池子中的EGD代幣被非預期取出; 本次事件是因為EGD_Finance的合約獲取獎勵時計算獎勵的餵價機製過於簡單, 導致代幣價格被閃電貸操控從而獲利。
dark