Dot Finance 闪电贷安全事件分析

创宇区块链安全实验室
创宇区块链安全实验室 机构得得号

Aug 30, 2021 专注构建区块链安全生态,致力于让人类进入安全的区块链世界。

摘要: 8 月 25 日, BSC 链上的 DeFi 协议 Dot Finance 遭遇闪电贷袭击,价值跌落近 35%。

前言

8 月 25 日,知道创宇区块链安全实验室 监测到 BSC 链上的 DeFi 协议 Dot Finance 遭遇闪电贷袭击,价值跌落近 35%。实验室第一时间跟踪本次事件并分析。

 

涉及对象

黑客地址:

0xDFD78a977c08221822F6699AD933869Da6d9720C

攻击合约地址:

0x33f9bB37d60Fa6424230e6Cf11b2d47Db424C879

受害合约地址:

0x16fd050f05f8fc361cf9083aa3f624a2bf7e914d0xbfca3b1df0ae863e966b9e35b9a3a3fee2ad8b07

 

攻击涉及主要函数分析

  • 分析交易哈希

0x68170a309ab2e944e178ccf9bf6f19e25a3f356031ce53539bb9669fc77172f2

  • swap函数

1.整个交易都始于 PancakePair swap函数


2.为攻击提供资金支持

  • get reward 函数

1.使用 balanceOf(address(this)) 获取 CAKE 代币余额


2.通过 CAKE 代币余额来铸造奖励

 

简要过程及原理分析

1.黑客使用 PancakeSwap 闪电贷获得初始资金 100 Cake 代币;

2.通过将 Cake 代币 打入 VaultPinkBNB 合约,来影响 getReward 函数获取合约 Cake 代币真实值,同时 performanceFee 参数受 Cake 代币真实值影响数值巨大;

3.最后 mintFor 函数使用受影响的 performanceFee 参数向黑客铸造大量 pink 代币奖励;

 

总结

此次攻击属于 PancakeBunny 同类型的攻击事件,迄今为止此类攻击事件已发生多次,知道创宇区块链安全实验室再次提醒,近期 BSC 链上频频爆发攻击事件,合约安全愈发需要得到迫切重视,合约审计、风控措施、应急计划等都有必要切实落实。

作者:创宇区块链安全实验室;来自链得得内容开放平台“得得号”,本文仅代表作者观点,不代表链得得官方立场凡“得得号”文章,原创性和内容的真实性由投稿人保证,如果稿件因抄袭、作假等行为导致的法律后果,由投稿人本人负责得得号平台发布文章,如有侵权、违规及其他不当言论内容,请广大读者监督,一经证实,平台会立即下线。如遇文章内容问题,请联系微信:chaindd123。

链得得仅提供相关信息展示,不构成任何投资建议
本文系作者 创宇区块链安全实验室 授权链得得发表,并经链得得编辑,转载请注明出处、作者和本文链接

更多精彩内容,关注链得得微信号(ID:ChainDD),或者下载链得得App

分享到:

相关推荐

    评论(0

    Oh! no

    您是否确认要删除该条评论吗?

    分享到微信