ETW:XSURGE闪电贷攻击事件分析-ODAILY_ASTAR价格

一．事件背景

8月17日，有消息爆出BSC上DeFi协议XSURGE遭到闪电贷攻击，被盗金额价值500万美金。知道创宇区块链安全实验室迅速展开分析。

二．攻击合约及交易

攻击合约地址：

0x1514AAA4dCF56c4Aa90da6a4ed19118E6800dc46

0xScope：受Multichain声明影响，Fantom链上资产价格脱锚加剧:7月14日消息，据0xScope监测，自Multichain发表声明后，Fantom链上资产价格脱锚加剧。目前，Fantom正转向LayerZero等多元化跨链桥和流动性解决方案。当前，Fantom上的交易价格（基于Layerzero USDC）：BTC:4,167美元；ETH:402美元；USDC:0.24美元；USDT:0.16美元。[2023/7/14 10:55:46]

攻击交易链接：

StraitsX在Hedra上推出新加坡元稳定币XSGD:5月24日消息，数字资产支付基础设施StraitsX在Hedra上推出新加坡元稳定币XSGD，用户可通过StraitsX平台在Hedera网络上发送和接收XSGD。Hedra基金会表示XSGD可能会在未来几个月内上线交易所。[2023/5/24 22:15:30]

https://bscscan.com/tx/0x7e2a6ec08464e8e0118368cb933dc64ed9ce36445ecf9c49cacb970ea78531d2

Sky Mavis将质押超过1100万个AXS代币:金色财经报道，Axie Infinity的创建者Sky Mavis表示，该公司将在其资产负债表上质押11,475,000个AXS代币，以加强其对Axie Infinity生态系统的长期承诺。Sky Mavis是Axie Infinity的创造者，该游戏在 2021年流行，之后由于游戏内代币奖励的价值下降而在新的一年下降。Axie 联合创始人 Jeffrey Zirlin 最近在 The Scoop 上?提到，该游戏此后宣布放弃“play to earn”模式，以促使用户从游戏中获得比其代币更多的收益。

根据 The Block Research 的说法，最近的举措可能会稀释 4300 万个 AXS 当前质押的数量，并降低当前 AXS 质押者的年百分比率 (APR)。截至发布时，有超过 4200 万个 AXS，价值 4.91 亿美元，以 43% 的年百分比率进行质押。[2022/10/12 10:31:26]

三．事件复盘

分析攻击交易，攻击者通过闪电贷借入BNB后购买surge代币，然后不断卖出再买入，最后套利离场，分析代币源代码可以发现，这次漏洞的原因是因为合约内的sell函数导致的重入漏洞。

sell函数计算完卖出代币所值BNB数量后，合约会把BNB发送给攻击合约，但是如果攻击合约此时在回退函数中又执行了purchase函数，就会导致重入的发生。

观察此次函数调用产生的影响，由于这是在sell函数中调用的purchase，所以totaslSupply还没有销毁掉sell的SurgeToken，导致totalSupply高于正常值，bnbAmount和prevBNBAmount的值会因为94%的手续费问题而有所变化，但也影响不大。

也就是说攻击者通过买入-卖出-买入的操作，以更低的代币价格获取到了更多的surge代币，值得一提的是因为sell函数中nonReentrant修饰函数的影响，攻击合约只能重复之前的操作，也说明了防重入修饰函数不能完全解决这种伪重入问题，最好的方法还是限制call函数转账调用，用更安全的transfer函数限制转账gas消耗。

四．事件总结

最近链上安全事件频繁发生，这次重入漏洞又造成了重大的经济损失，我们建议各大项目方认真审视自身代码，做好安全保障。同时官方发文称将会尽量弥补受害者被盗资金，如有最新进展，我们将会及时跟进。

标签：ETWCROWDASTARSELKeep NetworkCrowdHeroASTAR价格USELESS价格

币安app官网下载热门资讯