7月1日消息,根據安全公司Fairyproof發布的BiSwap LP遷移池攻擊事件簡析,BISwap的遷移合約少了兩個驗證:1.未驗證遷移者就是交易發起者,導致任意⼈都可以替別⼈進⾏遷移。 2.未驗證參數中的兩種代幣和Pair為真實的,導致攻擊者可以偽造token0、token1及Pair的⽅式進⾏攻擊。攻擊者⾸先通過真實的pair和假的token0,token1,調⽤遷移合約的遷移函數,將⽤戶的LP燃燒後的資產留在合約中,⽤戶添加的只是兩種假代幣組成LP池。然後攻擊者再通過真實的token0,token1及假的LP,調⽤遷移合約的遷移函數,將第⼀步留在合約中的資產添加為自己的LP。這樣通過狸貓換太⼦的方式將⽤戶的資產替換成假的LP資產,⽽真實的LP資產添加到了攻擊的的LP中。 Fairyproof還表示,此次攻擊造成約710251美元的損失。此前今日早些時候消息,BiSwap表示,已檢測並解決Migrator合約漏洞,請勿與訪問該合約,用戶資金安全。
dark