安全机构：New Free Dao被黑简析

GATE.IO芝麻开门

GATE.IO芝麻开门交易所(原比特儿交易所)是全球前10的交易所，新用户注册可免费领取空投，每月可得50-200U

点击注册 更多线路

更多交易所入口

一站式注册各大交易所、点击进入加密世界、永不失联，币安Binance/欧易OKX/GATE.IO芝麻开门/Bitget/抹茶MEXC/火币Huobi

点击进入 永不失联

据慢雾安全团队情报，2022年9月8号BSC链上的New Free Dao项目遭受闪电贷攻击。慢雾安全团队以简讯形式分享如下：
1. 攻击者首先通过闪电贷从Pancake借出了大量的WBNB，并换成了NFD代币；
2. 攻击者将第一步兑换的NFD代币转入攻击合约中，攻击合约会创建一个新的攻击合约2并接收代币；
3. 攻击合约2调用了未开源的被黑合约中 (0x8b068e22) 的 0x6811e3b9函数，通过反编译该合约分析出该函数仅通过调用者的NFD代币余额来计算获取的奖励并将奖励转给调用者，余额越多计算的奖励就越大，攻击合约2将在获取奖励后把奖励转移给新部署的攻击合约，并再次调用 0x6811e3b9函数获取奖励，通过不断创建新的攻击合约获取奖励来滚雪球套出池子里的所有代币；
4. 将获得的NFD代币通过Pancake换成WBNB，归还闪电贷后获利。
此次攻击的主要原因在于合约中计算奖励的方式过于简单，仅取决于调用者的余额故导致被闪电贷套利。慢雾安全团队建议在设计奖励方式时应采用多个因素动态计算。
攻击交易：0x1fea385acf7ff046d928d4041db017e1d7ead66727ce7aacb3296b9d485d4a26。