Odaily星球日報訊根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平台監測顯示,2022年11月29日,SEAMAN合約遭受漏洞攻擊。 Beosin分析發現是由於SEAMAN合約在每次transfer函數時,都會將SEAMAN代幣兌換為憑證代幣GVC,而SEAMAN代幣和GVC代幣分別處於兩個交易對,導致攻擊者可以利用該函數影響其中一個代幣的價格。攻擊者首先通過50萬BUSD兌換為GVC代幣,接下來攻擊者調用SEAMAN合約的transfer函數並轉入最小單位的SEAMAN代幣,此時會觸發合約將能使用的SEAMAN代幣兌換為GVC,兌換過程是合約在BUSD-SEAMAN交易對中將SEAMAN代幣兌換為BUSD,接下來在BUSD-GVC交易對中將BUSD兌換為GVC,攻擊者通過多次調用transfer函數觸發_splitlpToken()函數,並且會將GVC分發給lpUser,會消耗BUSD-GVC交易對中GVC的數量,從而抬高了該交易對中GVC的價格。最後攻擊者通過之前兌換的GVC兌換了50.7萬的BUSD,獲利7781 BUSD。 Beosin Trace追踪發現被盜金額仍在攻擊者賬戶(0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c),將持續關注資金走向。據悉,SEAMAN項目此前遭閃電貸攻擊,開發者利用了SEAMAN處理LP存款上的GVC分配方式中的一個漏洞。該漏洞使GVC價格下跌,攻擊者共能獲利約7800美元。
dark