據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平台監測顯示,UTC時間2023年5月14日,DeFi協議land疑似遭到攻擊,損失約15萬美元,Beosin Trace追踪發現已有149,616個BUSD被盜,目前,大部分被盜資金還在攻擊者地址。其攻擊的原因在於mint權限控制缺失。 Beosin安全團隊現將分析結果分享如下:1.項目方存在幾個miner地址可以mint NFT,其中包含0x2e59開頭地址合約。 2.攻擊者調用0x2e59開頭地址合約mint 200個NFT。 3.攻擊者調用0xeab0開頭地址函數,用上一步鑄造的NFT換取大量XQJ代幣(每個NFT兌換200XQJ),直到該合約無法換出XQJ。 4.攻擊者用28,601XQJ兌換了149,616BUSD。 5.攻擊者再次mint NFT直到NFT發行上限,攻擊結束後攻擊者仍持有733個NFT。
dark