安全公司Fairyproof发布BiSwap LP迁移池攻击事件简析。BISwap的迁移合约少了两个验证:1. 未验证迁移者就是交易发起者,导致任意⼈都可以替别⼈进⾏迁移。2. 未验证参数中的两种代币和交易对是否为真实的,导致攻击者可以伪造token0、token1及交易对的⽅式进⾏攻击。
攻击者⾸先通过真实的交易对和假的token0,token1,调⽤迁移合约的迁移函数,将⽤户的LP燃烧后的资产留在合约中,⽤户添加的只是两种假代币组成LP池。然后攻击者再通过真实的token0、token1及假的LP,调⽤迁移合约的迁移函数,将第⼀步留在合约中的资产添加为自己的LP。这样通过狸猫换太⼦的方式将⽤户的资产替换成假的LP资产,⽽真实的LP资产添加到了攻击的的LP中。Fairyproof还表示,此次攻击造成约710251美元的损失。
据此前报道,BiSwap发推称,“团队检测并解决了Migrator合约漏洞。Biswap V2和V3 AMM协议上的资产是安全的。团队阻止通过网站访问迁移过程,因为Migrator合约已被利用,不要试图直接访问本合约,如尚未这样做,请撤销对这些合约的批准。正在更详细地审查此漏洞的结果,后续将发布报告。用户资金是安全的,上述漏洞与AMM V2和V3资金无关。”
Gate.io - 芝麻交易所,又称芝麻开门交易所,是原比特儿交易所国际版本,是全球第二大交易所 支持人民币OTC交易 让财富更自由一点
文章采集自互联网,本站不对其真实性负责,如需删除,请发送链接至oem1012@qq.com
发表评论
电子邮件地址不会被公开。 必填项已用*标注
文章评论已关闭!