NCE:慢霧分析：BSC 上的 DeFi 項目 EGD Finance 遭黑客攻擊，致其池子中資金被非預期取出_LANC幣

鏈捕手消息，據慢霧區分析，BSC上的DeFi項目EGDFinance項目遭受黑客攻擊，導致其池子中資金被非預期的取出。慢霧安全團隊對此進行分析：

慢霧：過去一周Web3因安全事件損失約265萬美元:7月17日消息，慢霧發推稱，2023年7月10日至7月16日期間，Web3發生5起安全事件，總損失為265.5萬美元，包括Arcadia Finance、Rodeo Finance、LibertiVault、Platypus、Klever。[2023/7/17 10:59:08]

1.由于EGD_Finance合約中獲取獎勵的claimAllReward函數在計算獎勵時會調用getEGDPrice函數來進行計算EGD的價格,而getEGDPrice函數在計算時僅通過pair里的EGD和USDT的余額進行相除來計算EGD的價格

分析 | 慢霧科技：錢包被注入惡意代碼 可能是網站管理員沒有維護好代碼權限:針對“網頁加密貨幣錢包Safuwallet被黑與幣安服務器出現問題是否存在關聯”一事，慢霧科技在接受金色財經采訪時分析指出：“錢包被注入惡意代碼，有可能是網站的管理員沒有維護好代碼的權限。導致網頁代碼被攻擊者加入了惡意代碼。惡意代碼會竊取助記詞、私鑰等等的東西發送到攻擊者自己的服務器上面，就像一個后門一樣。類似的事件，以前也發生過不少，主要還是錢包的問題，從用戶角度來看, 盡量不要用這種網頁錢包。”[2019/10/12]

2.攻擊者利用這個點先閃電貸借出池子里大量的USDT,使得EGD代幣的價格通過計算后變的很小,因此在調用claimAllReward函數獲取獎勵的時候會導致獎勵被計算的更多,從而導致池子中的EGD代幣被非預期取出

現場 | 慢霧科技郭陽：面對DApp安全問題開發人員需提升開發能力:金色財經現場報道，今日，2018可信區塊鏈峰會在北京召開。在主題為“區塊鏈安全焦點關注”的區塊鏈安全論壇上，廈門慢霧科技有限公司慢霧安全負責人郭陽指出了以太坊溢出、權限控制、條件競爭、假充值和EOS惡意占用 RAM、假幣等DApp 安全問題，他表示，開發人員要提升自己的開發能力以及專業技能，同時在合約開發完成后找職業的安全團隊審計，也可以參考業界的經驗分析總結。[2018/10/10]

本次事件是因為EGD_Finance的合約獲取獎勵時計算獎勵的喂價機制過于簡單,導致代幣價格被閃電貸操控從而獲利。參考攻擊交易鏈接可點擊此處。

Tags：NCEFINAFINANCYFED.FinanceEuler FinanceJiggly FinanceLANC幣

SOL