概述:
2023 年 2 月 8 日,針對 DKP 協議的閃電貸攻擊導致該協議的用戶損失了 8 萬美元,因為 execute() 函式取決于 USDT-DKP 對中兩種代幣的余額比率,
智能合約黑客概述:
- 攻擊者的交易:0x0c850f,0x2d31
- 攻擊者地址:0xF38
- 利用合同:0xf34ad
- DKP合約代碼:0xd06fa
- DKP交易對:0xBE654
解碼智能合約漏洞:
- 攻擊從向漏洞利用合約傳輸 259,390 BSC-USD 代幣的閃貸開始,
- 然后,攻擊者呼叫他的合約的
pancakeCall()
方法,并將 BSC-USD 代幣從他的合約轉移到 exchange() 函式,
- 然后攻擊者使用該
exchange()
方法將 100 BSC-USD 轉換為 17,029 DKP 代幣,隨后將其傳輸到漏洞利用合約,
- 攻擊者發起了一項新交易
swapExactTokensForTokensSupportingFeeOnTransferTokens
,將 DKP 代幣兌換回他們的 USDT 對手方,并從中獲利頗豐,
緩解措施和最佳實踐:
- 通過諸如 Chain Links 之類的預言機和對這些提要引數的輸入驗證,可以在更大程度上減輕價格操縱嘗試,以防止資料過時,
- 使用加權時間演算法,而不是嚴重依賴令牌演算法,
- 定期檢查欺詐存款的情況并防止套利,
通過Github 獲取更多區塊鏈學習資料!
https://github.com/Manuel-yang/BlockChainSelfLearning
轉載請註明出處,本文鏈接:https://www.uj5u.com/qukuanlian/549306.html
標籤:區塊鏈
上一篇:Defi開發簡介