ChainCatcher 消息,根據區塊鏈安全審計公司Beosin 旗下Beosin EagleEye 安全風險監控、預警與阻斷平台監測顯示,BNB Chain 上的sDAO 項目遭受漏洞攻擊。 Beosin 分析發現sDAO 合約的業務邏輯存在錯誤,getReward 函數是根據合約擁有的LP 代幣和用戶添加的LP 代幣作為參數來計算的,計算的獎勵與用戶添加LP 代幣數量正相關,與合約擁有總LP 代幣數量負相關,但合約提供了一個withdrawTeam 的方法,可以將合約擁有的BNB 以及指定代幣全部發送給合約指定地址,該函數任何人都可調用。而本次攻擊者向其中添加了LP 代幣之後,調用withdrawTeam 函數將LP 代幣全部發送給了指定地址,並立刻又向合約轉了一個極小數量的LP 代幣,導致攻擊者在隨後調用getReward 獲取獎勵的時候,使用的合約擁有總LP 代幣數量是一個極小的值,使得獎勵異常放大。最終攻擊者通過該漏洞獲利約13662 枚BUSD。
Related Posts
Web3 音樂社區品牌mta1verse 將發布專屬Pass 憑證,並於4 月舉辦線下活動以創作「Mint Your Brain」系列NFT 作品
ChainCatcher 消息,We…
2023-01-11