一.事件背景
8月17日,有消息爆出BSC上DeFi协议XSURGE遭到闪电贷攻击,被盗金额价值500万美金。知道创宇区块链安全实验室迅速展开分析。
二.攻击合约及交易
攻击合约地址:
0x1514AAA4dCF56c4Aa90da6a4ed19118E6800dc46
数据:0xbed3开头地址向币安转入超45万枚AXS:金色财经报道,据Lookonchain监测数据显示,0xbed3开头地址通过三个地址向币安转入两个月前解锁的416,666枚AXS,价值约292万美元。[2022/12/26 22:08:35]
攻击交易链接:
https://bscscan.com/tx/0x7e2a6ec08464e8e0118368cb933dc64ed9ce36445ecf9c49cacb970ea78531d2
The Block研究员:Delphi Digital一钱包地址上周末向Coinbase转入60万枚AXS,钱包清零:6月28日消息,据The Block研究员@Dogetoshi的推文,上周末, Delphi Digital向Coinbase转入了60万枚AXS(约900万美元),清空了他们的钱包。在高峰期,钱包中的全部资产价值9500万美元。
此外,@Dogetoshi发现,28天前,Delphi的一个AXS归属地址(0x9E7…)发送了15万枚AXS到0x820开头的地址,0x820开头的地址将这些资金送到了三箭资本的旗下场外交易公司TPS Capital。
此前5月份消息,Delphi Digital披露Delphi Ventures在Terra危机中损失1000万美元。[2022/6/29 1:38:02]
三.事件复盘
LBANK蓝贝壳NFT交易区于3月3日16:00上线 B20、AXS:据官方公告,3月3日16:00,LBANK蓝贝壳NFT交易区上线B20(Beeple 20)、AXS(Axie Infinity),开放USDT交易,3月3日15:00开放充值,3月3日16:00开放提现。
Metapurse的B20代币,是部分所有权代币。将The Beeple 20系列艺术品的所有权进行了分割。随着Beeple的作品即将登陆佳士得的拍卖会,这可能是一种获得其艺术品的独特方式。
Axie Infinity是在以太坊区块链上构建的,受神奇宝贝启发的数字宠物世界。[2021/3/3 18:10:20]
分析攻击交易,攻击者通过闪电贷借入BNB后购买surge代币,然后不断卖出再买入,最后套利离场,分析代币源代码可以发现,这次漏洞的原因是因为合约内的sell函数导致的重入漏洞。
sell函数计算完卖出代币所值BNB数量后,合约会把BNB发送给攻击合约,但是如果攻击合约此时在回退函数中又执行了purchase函数,就会导致重入的发生。
观察此次函数调用产生的影响,由于这是在sell函数中调用的purchase,所以totaslSupply还没有销毁掉sell的SurgeToken,导致totalSupply高于正常值,bnbAmount和prevBNBAmount的值会因为94%的手续费问题而有所变化,但也影响不大。
也就是说攻击者通过买入-卖出-买入的操作,以更低的代币价格获取到了更多的surge代币,值得一提的是因为sell函数中nonReentrant修饰函数的影响,攻击合约只能重复之前的操作,也说明了防重入修饰函数不能完全解决这种伪重入问题,最好的方法还是限制call函数转账调用,用更安全的transfer函数限制转账gas消耗。
四.事件总结
最近链上安全事件频繁发生,这次重入漏洞又造成了重大的经济损失,我们建议各大项目方认真审视自身代码,做好安全保障。同时官方发文称将会尽量弥补受害者被盗资金,如有最新进展,我们将会及时跟进。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。