一.事件背景
8月17日,有消息爆出BSC上DeFi協議XSURGE遭到閃電貸攻擊,被盜金額價值500萬美金。知道創宇區塊鏈安全實驗室迅速展開分析。
二.攻擊合約及交易
攻擊合約地址:
0x1514AAA4dCF56c4Aa90da6a4ed19118E6800dc46
Coinbase Pro將上線AXS、REQ、TRU和WLUNA:金色財經報道,據官方公告消息,Coinbase Pro將上線Axie Infinity(AXS)、Request(REQ)、TrueFi(TRU)和Wrapped Luna(WLUNA),目前已支持入站轉賬。一旦滿足流動性條件,交易將在太平洋時間8月12日上午9點或之后開啟。[2021/8/12 1:49:52]
攻擊交易鏈接:
FTX已上線CRO、DENT、NPXS現貨及永續合約:據官網公告,FTX現已上線Crypto.com Coin(CRO)、Dent (DENT)、Pundi X (NPXS) 現貨及永續合約。[2021/3/24 19:14:13]
https://bscscan.com/tx/0x7e2a6ec08464e8e0118368cb933dc64ed9ce36445ecf9c49cacb970ea78531d2
XSG登錄WBF交易所8個交易日漲幅達114%:據悉,WBF交易所于5月25日20:00正式上線XSG,并在開放區上線XSG/USDT交易對。截止到2020年6月1日10:00,XSG漲幅達114%。Stellargo是一個一站式服務平臺,通過單一應用界面,將法幣與虛擬貨幣的存儲、轉賬與結算、實體卡與虛擬卡的發行、銀行服務、預付費服務、購物、游戲等兼容并收。[2020/6/1]
三.事件復盤
分析攻擊交易,攻擊者通過閃電貸借入BNB后購買surge代幣,然后不斷賣出再買入,最后套利離場,分析代幣源代碼可以發現,這次漏洞的原因是因為合約內的sell函數導致的重入漏洞。
sell函數計算完賣出代幣所值BNB數量后,合約會把BNB發送給攻擊合約,但是如果攻擊合約此時在回退函數中又執行了purchase函數,就會導致重入的發生。
觀察此次函數調用產生的影響,由于這是在sell函數中調用的purchase,所以totaslSupply還沒有銷毀掉sell的SurgeToken,導致totalSupply高于正常值,bnbAmount和prevBNBAmount的值會因為94%的手續費問題而有所變化,但也影響不大。
也就是說攻擊者通過買入-賣出-買入的操作,以更低的代幣價格獲取到了更多的surge代幣,值得一提的是因為sell函數中nonReentrant修飾函數的影響,攻擊合約只能重復之前的操作,也說明了防重入修飾函數不能完全解決這種偽重入問題,最好的方法還是限制call函數轉賬調用,用更安全的transfer函數限制轉賬gas消耗。
四.事件總結
最近鏈上安全事件頻繁發生,這次重入漏洞又造成了重大的經濟損失,我們建議各大項目方認真審視自身代碼,做好安全保障。同時官方發文稱將會盡量彌補受害者被盜資金,如有最新進展,我們將會及時跟進。
BitXHub是趣鏈科技自主研發的跨鏈技術平臺,提供基于異構聯盟鏈間的賬本互操作解決方案。為保證BitXHub跨鏈平臺在日常迭代過程中的功能符合用戶需求,并盡可能多的把問題在發布或交付之前發現并.
1900/1/1 0:00:00鏈集市·讓區塊鏈落地更簡單 《區塊鏈行業觀察》專欄·第35篇作者丨RafiaRaji 圖片丨來源于網絡 使用Crypto進行跨境支付隨著移動支付在非洲主要市場的鞏固.
1900/1/1 0:00:00區塊鏈系統本質上是一個所有人共同記賬并維護的大系統,那么身處世界各地的人,如何實現共同記賬并維護呢,這就必須依靠今天我們要提到的共識機制.
1900/1/1 0:00:00AnimocaBrands的區塊鏈游戲REVVRacing內測版首發活動將提供價值15萬美元的獎品 TL;DR ●2021年8月11日,將公開發布REVVRacing的內測版.
1900/1/1 0:00:00近日,區塊鏈領域安全產品與技術服務商艾貝鏈動,在杭州舉辦的2021世界區塊鏈大會亮相,并受邀出席“創新融合與區塊鏈安全治理論壇”.
1900/1/1 0:00:008月5日EIP-1559上線,也將成為以太坊發展史上重要的里程碑。在EIP-1559上線前,尤其在5月之前,以太坊社區、尤其是礦工群體對EIP-1559還是有一定分歧的.
1900/1/1 0:00:00