BSC:BSC链的EvoDeFi遭闪电贷攻击事件分析

前言

据推文消息,6月10日,BSC链上的EvoDeFi项目遭到闪电贷攻击,知道创宇区块链安全实验室第一时间跟踪本次事件并分析。分析

攻击者:0x8a0a1eb0bae23e4e95608e3aad7fa25b0d907c6c攻击合约:0x1cb6d29c52fd993103eadd0c01209ba000e92459攻击tx:0x7c3b7f082a5c92b03a878ff5d7c7e645ce3bcd37901808b936b318c4f3cc3880、

O3 Swap报告跨链交易存在问题,BSC和Polygon上共3.35亿美元资产被转移至两个地址:8月10日消息,在跨链聚合协议O3 Swap(O3)电报群中,工作人员表示,有用户报告跨链交易问题,包括跨链池O3 Hub存取款问题,并建议用户在问题解决之后再进行交易。

数据显示,O3 Swap(O3)跨链池出现资产大额转移,币安智能链和Polygon上共3.35亿美元资产被转移至两个地址。大约两小时内,币安智能链上6613枚BNB、87603671枚USDC、26629枚ETH、1023枚BTCB、32107854枚BUSD、888888888枚BabyLoserCoin被转至0x0D6e开头的地址,除BabyLoserCoin外总价值超2.5亿美元。此外,Polygon上85089719枚USDC被转移至0x5dc36开头的地址。[2021/8/10 1:46:41]

dForce贷款和合成资产协议将在ETH和BSC上启动:官方消息,dForce表示,社区投票通过治理提案DIP009和DIP010,dForce贷款和合成资产协议将在ETH和BSC上启动。此外,将USX,EUX,xETH,xBTC添加到核心合成资产列表,dForce Lending启用USX,EUX,xETH,xBTC作为抵押品,添加TSLA,AAPL,AMZN,COIN作为受支持的合成股票。[2021/5/18 22:15:59]

子合约1:0x5eD40eC8Bd35134f273EC8cEaE1170B783FfD8c9子合约2:0xC3CA2B0dA8faE38b343eC3DcDBec79255C19F397子合约3:0x79B105423e72E8ae9f4B7972f61fb1126C49a034子合约4:0x00A8b07a2f8087BD611299396d4C693C385c5c12子合约5:0x7C5dD8Ec1edd40Fd6c670fc552A4D48bb8BE2d62子合约6:0x78e480357852a2610951437e764702b8188b36d2MasterChef:0xF1F8E3ff67E386165e05b2B795097E95aaC899F0攻击流程

借贷协议Liquity:Fluity在BSC分叉Liquity,LQTY持有者将获得FLTY供应量的25%:DeFi借贷协议Liquity Protocol表示,Fluity Finance在BSC分叉Liquity,LQTY持有者将获得Fluity Token(FLTY)供应量的25%。Liquity提醒称,Liquity对Fluity没有任何监督,用户在与未经审计的智能合约交互时应谨慎。[2021/5/8 21:37:07]

通过Pancake闪电贷借出273,360.811GEN向子合约转账所有GEN,调用子合约0x6ead30df方法调用MasterChef的deposit函数,质押所有GEN调用MasterChef的depositNFT函数,质押GenNFT调用MasterChef的updatePower函数更新,由于updatePower函数设计缺陷,未更新rewardDebt调用MasterChef的withdraw函数,赎回质押的所有GEN,由于上一步的更新缺陷导致奖励增发通过子合约transfer函数将获利的所有GEN转回攻击合约0x1cb6通过6个子合约重复上述2-7步骤,最后共计获利455,576.855GEN

总结

由于MasterChef合约中的函数的更新逻辑存在设计缺陷,未更新奖励需要扣除的部分,从而导致被攻击者套利。BSC链上频频爆发攻击事件,合约安全需要得到足够重视。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:62ms0-0:869ms