BSC鏈的EvoDeFi遭閃電貸攻擊事件分析_GEN:SWAPS幣

前言

據推文消息，6月10日，BSC鏈上的EvoDeFi項目遭到閃電貸攻擊，知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。分析

攻擊者：0x8a0a1eb0bae23e4e95608e3aad7fa25b0d907c6c攻擊合約：0x1cb6d29c52fd993103eadd0c01209ba000e92459攻擊tx：0x7c3b7f082a5c92b03a878ff5d7c7e645ce3bcd37901808b936b318c4f3cc3880、

TUSD位列BSC持倉前1000名大戶錢包中資產第八名:據官方消息，根據BSC持倉前1000名大戶錢包最新數據，TUSD是大戶持倉中排名第八的資產，平均26萬美金。TrueUSD作為經獨立機構驗證、接受鏈上實時獨立驗證、錨定美元的數字資產，目前已上線Binance、Huobi、Poloniex等100多家交易平臺，并在Ethereum、TRON、Avalanche、BSC、Fantom、Polygon等公鏈上進行多鏈部署, 深度參與各鏈DeFi生態建設。TrueUSD經會計公司Armanino實時審計，確保美元儲備與其流通比達到1:1，實現100%儲備，用戶可隨時通過官網獲取公開審計結果。[2021/12/30 8:13:19]

BSC上UniswapV3分叉項目或違背軟件協議，但Uniswap團隊尚未回應:一個名為Holaswap的項目宣布完全使用了UniswapV3的代碼，已部署在幣安智能鏈（BSC）網絡中，根據此前UniswapV3的軟件授權協議來看，該項目或侵犯了Uniswap團隊的權益。此前Uniswap團隊為了阻止競爭者使用其代碼，在其發布V3版本時使用了商業源碼許可證（BusinessSourceLicense1.1），但可能會在兩年后開放源代碼的使用權。[2021/6/7 23:17:26]

子合約1：0x5eD40eC8Bd35134f273EC8cEaE1170B783FfD8c9子合約2：0xC3CA2B0dA8faE38b343eC3DcDBec79255C19F397子合約3：0x79B105423e72E8ae9f4B7972f61fb1126C49a034子合約4：0x00A8b07a2f8087BD611299396d4C693C385c5c12子合約5：0x7C5dD8Ec1edd40Fd6c670fc552A4D48bb8BE2d62子合約6：0x78e480357852a2610951437e764702b8188b36d2MasterChef：0xF1F8E3ff67E386165e05b2B795097E95aaC899F0攻擊流程

C.R.E.A.M. BSC平臺已支持SUSHI，抵押系數為65%:Cream Finance表示，C.R.E.A.M. BSC平臺已支持SUSHI，抵押系數為65%。[2021/3/25 19:17:47]

通過Pancake閃電貸借出273,360.811GEN向子合約轉賬所有GEN，調用子合約0x6ead30df方法調用MasterChef的deposit函數，質押所有GEN調用MasterChef的depositNFT函數，質押GenNFT調用MasterChef的updatePower函數更新，由于updatePower函數設計缺陷，未更新rewardDebt調用MasterChef的withdraw函數，贖回質押的所有GEN，由于上一步的更新缺陷導致獎勵增發通過子合約transfer函數將獲利的所有GEN轉回攻擊合約0x1cb6通過6個子合約重復上述2-7步驟，最后共計獲利455,576.855GEN

總結

由于MasterChef合約中的函數的更新邏輯存在設計缺陷，未更新獎勵需要扣除的部分，從而導致被攻擊者套利。BSC鏈上頻頻爆發攻擊事件，合約安全需要得到足夠重視。

Tags：BSCCHESWAPGENBSCV價格Tranche FinanceSWAPS幣Nugen Coin

酷幣交易所