日期:2023-03-16
来源:玫瑰财经网
浏览:次
北京时间2022年9月5日,CertiK监察组监测到Daoswap在一次袭击中损失了58万USDT,原因是DAOSWAP的采矿奖励大于交换过程中收取的费用,缺乏核实,允许将邀请者地址设置为自己。
攻击程序
攻击者合同在12个地址全部以218万美元的价格贷款。
攻击者合同使用DAORouter,用DAO代币交换所有被全面贷款的USDT。在交换过程中,攻击者合同以两种方式从SwapToEarn获得DAO令牌作为补偿。
A
.令牌补偿:用于交换令牌的用户。B.邀请者奖励:攻击者在调用函数时可以任意设置“邀请者”地址,推荐者也可以获得奖励。在这种情况下,攻击者合同将邀请者地址设置为自己
。攻击者合同用同样的方法将所有DAO代币换成USDT,再次获得两项奖励。
攻击者合同多次重复步骤和。攻击者得到了DAO代币作为补偿,因此每次都能得到更多的USDT。
攻击者合同偿还了所有贷款资金,并将剩余的USDT金额转让给攻击者。
合同的漏洞
DAOSwap包括对“swap-mining”的补偿,其实施方式如下:
在_swap函数中进行交换后,可以在SwapToEarn.sol中调用swapCall函数。
在SwapCall函数中,DAO令牌传递给用户和邀请者,两者都通过参数传递。
从_swap调用函数时,用户将设置为消息发送者msg.sender,邀请者将看到来自输入参数。
受邀者地址可以是任何地址。因为该地址没有设置检查。攻击者可以将邀请者设置为自己,并获得额外补偿。
值得注意的是,攻击者作为邀请者得到的补偿约占总补偿的20%。即使攻击者不允许将邀请地址设置为自己,攻击者仍然可以从交易中获益。
6笔交易的总利润约为581,254美元
。相关交易:
https://BSCSCAN . com/tx/0x 41462 F2 AA 63F 371 FBCF 3CF 3C8 DF 46 B9 A64AB 64085 AC 0A B 48900 F 675 ACD 63931 F23
交易:https://BSC scan . com/tx/0x6c 859 AE 624002 e 07 DAC 39 CBC 5 efef 76133 F8 af 5 a4 e 0c 42 ef 85 e 47d 51 f 82 AE 0
交易:
https://BSC scan . com/tx/0x3b 1d 631542 EB 91b 5734 e 3305 be 54f 305 f 26 ab 291 b33c 8017 a 73 DCA 5b 0c 32 a 1 b
交易:https://bscscan . com/tx/0xa 7 FDE FCD 80ba 54 d2e 8 DD 1 ab 260495 DCA 547993019d 90f 7885819 BB 4670 b 65 BAD
交易:
https://bscscan . com/tx/0xf 1368418344 e 21 a 1 a 09 a 2 c 1770 ea 301 BF 109 ca 3 b 387 a 59 a 79242 a 27d 709195 a 7
交易:
https://bscscan . com/tx/0x8eb 87423 f2d 021 e 3 acbe 35c 07875 D1 D1 b 30 ab 6 dff 14574 a 3 f 71 f 138 c 432 a 40 ef
写在最后
袭击发生后,CertiK的Twitter警报账户和官方警报系统已经在第一时间发布了消息。同时,CertiK继续在官方公众号上发布与项目警报(攻击、欺诈、跑步等)相关的信息。
CertiK的端到端安全解决方案、智能合同审计和KYC项目背景调查服务、Skynet Skynet动态扫描系统和SkyTrace等区块链分析工具、漏洞悬赏计划等,帮助每个项目充分发挥潜力,同时为Web 3.0创建用户和投资者参与的生态系统。
单击下载
European Exchange金融投资European Exchange(也称为Eurokx)是世界领先的数字资产交易所,为全球用户提供比特币、莱特货币、以太网货币等数字资产的现货和衍生品交易服务,并使用区块链技术为全球交易者提供高级金融服务。这是一个非常古老的数字货币交易平台,平台为我们提供安全、专业的数字货币交易经验,为新手提供完整的流程指导,使其易于启动,通过客服24小时在线回复提供最佳服务。
4
500吨汽车吊作业性能表(汽车吊支腿反力及抗倾覆验算)
石碣镇汽车站(今天,石碣汽车客运站恢复运营)
招贤汽车站(9月14日起,莒县K601路增开大站快车)
北京福田汽车图片(自重不到两吨,详解福田领航S1小卡)
东风轻型汽车(“东风轻型车”横空出世 未来无人驾驶车将快递送到家门口)
周口市汽车东站(郑阜高速铁路上的主要客运站——周口东站)
Copyright (c) 2022 玫瑰财经网 版权所有
备案号:冀ICP备17019481号
玫瑰财经网发布此信息的目的在于传播更多信息,与本站立场无关。玫瑰财经网不保证该信息(包含但不限于文字、视频、音频、数据及图表)全部或者部分内容的准确性、真实性、完整性、有效性、及时性、原创性等。
相关信息并未经过本网站证实,不对您构成任何投资建议,据此操作,风险自担。