以假乱线 众筹池遭袭事件分析

live41 虚拟货币平台 2022-04-24 20:48:42 Dodo认购

  P)的 flashloan 函数攻击者接着调用资金池合约(DL,(wCRES 和 USDT)借出了略少于资金池储量的真币。

  搜索数据显示谷歌趋势的,格去年飙升至高达69比特币(BTC)的价,0美元00,在40今年则,以上的范围000美元内

  时同,子中存入了足量的 FDO 和 FUSDT由于攻击者在Step 2的时候已经往池,quoteBalance 的值足够大所以此时baseBalance 和 ,个if判断绕过了两,同步函数_sync直接进入了最后的。此至,shloan 的余额检查攻击者成功通过了 fla,以假乱真实现了。

  USDT 转入到攻击者预先设置好的合约地址之后flashloan 函数在将 wCRES 和 ,击者的外部逻辑会自动调用攻。S/USDT 这个池子的初始化函数 init 而攻击者就是在外部逻辑的实现中调用了 wCRE,r 替换为了 FDO/FUSDT将该池子的 token pai。

  能做好权限审核工作对项目合约的关键功,用引发不可预料的后果从而造成损失以免核心函数由于权限要求过低被滥。

  码审计意识提高项目代,链安全公司进行充分的安全审计项目上线前需咨询相关的区块,保证项目安全最大程度的。

  (FDO 和 FUSDT)转入略多于该储量的假币 ,hloan函数的余额检查从而保证能通过flas。

  )4月23日公布的最新数据显示灰度官方(Grayscale ,360亿美元关口降至357。2亿美元截至4月22日灰度总资产管理规模跌破。

  之所以发生本次攻击,2 众筹池的 init 函数上最主要的问题出在 DODO V。用情况可以发现查看该函数的调,能在刚建池的时候被调用一次正常的逻辑应该是该函数只,设置访问权限之后就应该,被重复调用同时也不能。重复调用来重新初始化池子的这一漏洞攻击者就是利用了init函数可以被,真币用假币套取了出来结合闪电贷将池子中的,成了攻击从而完。

分享: