AST:BSC鏈的EvoDeFi遭閃電貸攻擊事件分析_HyperChain X

前言

據推文消息，6月10日，BSC鏈上的EvoDeFi項目遭到閃電貸攻擊，知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。分析

攻擊者：0x8a0a1eb0bae23e4e95608e3aad7fa25b0d907c6c攻擊合約：0x1cb6d29c52fd993103eadd0c01209ba000e92459攻擊tx：0x7c3b7f082a5c92b03a878ff5d7c7e645ce3bcd37901808b936b318c4f3cc3880、

BSCFA宣布DOGE FOOD獲得BSCSTAR白名單:據官方消息，BSCFA官方渠道宣布，DOGE FOOD成為BSCSTAR白名單項目。BSCSTAR是BSCFA（公益基金組織）發布的一個明星項目評選，主要挑選GameFi/NFT/社交/元宇宙類項目進行評比，最終評選冠軍項目將獲得300W美金的天使輪融資。據悉，DOGEFOOD是BSC鏈上的一款Meme代幣，目前主要做NFT&GameFi方向，其NFT平臺與Tofu達成合作。[2022/6/6 4:06:08]

基于BSC的Arbix Finance協議被CertiK標記為Rug Pull:區塊鏈安全公司CertiK已將基于Binance Smart Chain的流動性挖礦協議Arbix Finance標記為“Rug Pull”（拉地毯）項目。根據CertiK的事件分析，Arbix Finance項目顯示了太多的危險信號。CertiK稱：“ARBX合約只有所有者功能的mint()，1000萬個ARBX代幣被鑄造到了8個地址”。CertiK還確認有450萬個ARBX被鑄造到一個地址，之后“450萬個鑄造的代幣被丟棄。”另一個危險信號是1000萬美元的用戶資金。這筆資金在存入后被定向到未經驗證的池中，黑客最終獲得了所有訪問權限，耗盡了全部1000萬美元的資產。（Coingape）[2022/1/6 8:27:48]

子合約1：0x5eD40eC8Bd35134f273EC8cEaE1170B783FfD8c9子合約2：0xC3CA2B0dA8faE38b343eC3DcDBec79255C19F397子合約3：0x79B105423e72E8ae9f4B7972f61fb1126C49a034子合約4：0x00A8b07a2f8087BD611299396d4C693C385c5c12子合約5：0x7C5dD8Ec1edd40Fd6c670fc552A4D48bb8BE2d62子合約6：0x78e480357852a2610951437e764702b8188b36d2MasterChef：0xF1F8E3ff67E386165e05b2B795097E95aaC899F0攻擊流程

CoinWind（BSC版）將開啟LTC、FIL、DOT、EOS、INJ、HMDX等幣種單幣挖礦:4月15日消息，DeFi智能高收益單幣挖礦金融平臺CoinWind.com（BSC版）將于4月15日16:00（UTC+8）開啟LTC、FIL、DOT、EOS、INJ、HMDX等幣種單幣挖礦，上線的幣種及限額分別為3萬個LTC，3萬個FIL，7萬個DOT，22萬個EOS，20萬個INJ，50萬個HMDX。

據悉，在社區用戶的推動下，CoinWind.com總鎖倉量（TVL）已突破15億美金。[2021/4/15 20:22:54]

通過Pancake閃電貸借出273,360.811GEN向子合約轉賬所有GEN，調用子合約0x6ead30df方法調用MasterChef的deposit函數，質押所有GEN調用MasterChef的depositNFT函數，質押GenNFT調用MasterChef的updatePower函數更新，由于updatePower函數設計缺陷，未更新rewardDebt調用MasterChef的withdraw函數，贖回質押的所有GEN，由于上一步的更新缺陷導致獎勵增發通過子合約transfer函數將獲利的所有GEN轉回攻擊合約0x1cb6通過6個子合約重復上述2-7步驟，最后共計獲利455,576.855GEN

總結

由于MasterChef合約中的函數的更新邏輯存在設計缺陷，未更新獎勵需要扣除的部分，從而導致被攻擊者套利。BSC鏈上頻頻爆發攻擊事件，合約安全需要得到足夠重視。

Tags：BSCGENASTRCHBSCMGENAI幣MASTERHyperChain X

中幣下載