ChainCatcher 消息,根據區塊鏈安全審計公司Beosin 旗下Beosin EagleEye 安全風險監控、預警與阻斷平台監測顯示,BNB Chain 上的sDAO 項目遭受漏洞攻擊。 Beosin 分析發現sDAO 合約的業務邏輯存在錯誤,getReward 函數是根據合約擁有的LP 代幣和用戶添加的LP 代幣作為參數來計算的,計算的獎勵與用戶添加LP 代幣數量正相關,與合約擁有總LP 代幣數量負相關,但合約提供了一個withdrawTeam 的方法,可以將合約擁有的BNB 以及指定代幣全部發送給合約指定地址,該函數任何人都可調用。而本次攻擊者向其中添加了LP 代幣之後,調用withdrawTeam 函數將LP 代幣全部發送給了指定地址,並立刻又向合約轉了一個極小數量的LP 代幣,導致攻擊者在隨後調用getReward 獲取獎勵的時候,使用的合約擁有總LP 代幣數量是一個極小的值,使得獎勵異常放大。最終攻擊者通過該漏洞獲利約13662 枚BUSD。
dark