SEL:XSURGE闪电贷攻击事件分析-ODAILY

一．事件背景

8月17日，有消息爆出BSC上DeFi协议XSURGE遭到闪电贷攻击，被盗金额价值500万美金。知道创宇区块链安全实验室迅速展开分析。

二．攻击合约及交易

攻击合约地址：

0x1514AAA4dCF56c4Aa90da6a4ed19118E6800dc46

超8万枚FXS(Frax Share)将于1月27日解锁，占总供应量的0.08%:1月17日消息，据 DropsTab 数据显示，83,340 枚 FXS（Frax Share）将于 1 月 27 日解锁，占总供应量的 0.08%。此外，Frax Share 将于每月 27 日解锁 83,340 枚 FXS，每次解锁量占总供应量的 0.08%。 据 OKX 行情数据显示，FXS（Frax Share）现报 9.06 美元，单日涨幅 1.84%，7 日涨幅近 65%。[2023/1/17 11:16:45]

攻击交易链接：

GIBXSWAP将于9月14日正式上线:据官方消息，GIBXSwap将于9月14日正式上线。GIBXSWAP是基于自动化做市机制的去中心化交易协议，旨在融合多种基础公链的差异化优势。打造复合型DEX生态，并通过手续费回购销毁机制实现了自驱式价值捕获生态闭环。致力打造集DEX、IMO、DAO为一体的DeFi平台。[2021/9/6 23:03:40]

https://bscscan.com/tx/0x7e2a6ec08464e8e0118368cb933dc64ed9ce36445ecf9c49cacb970ea78531d2

NPXS继续领涨市值前百币种:NPXS涨幅29.84%，现全球均价0.0035美元，市值前100的币种中涨幅第一，这是NPXS继昨日领涨前百币种后继续强势上涨。据Pundi X昨日消息，NPXS将以0.0030美元至0.0036 美元的价格回购，回购总额相当于2000个ETH，并将分阶段推出，第一阶段将在未来数周内完成。[2018/4/18]

三．事件复盘

分析攻击交易，攻击者通过闪电贷借入BNB后购买surge代币，然后不断卖出再买入，最后套利离场，分析代币源代码可以发现，这次漏洞的原因是因为合约内的sell函数导致的重入漏洞。

sell函数计算完卖出代币所值BNB数量后，合约会把BNB发送给攻击合约，但是如果攻击合约此时在回退函数中又执行了purchase函数，就会导致重入的发生。

观察此次函数调用产生的影响，由于这是在sell函数中调用的purchase，所以totaslSupply还没有销毁掉sell的SurgeToken，导致totalSupply高于正常值，bnbAmount和prevBNBAmount的值会因为94%的手续费问题而有所变化，但也影响不大。

也就是说攻击者通过买入-卖出-买入的操作，以更低的代币价格获取到了更多的surge代币，值得一提的是因为sell函数中nonReentrant修饰函数的影响，攻击合约只能重复之前的操作，也说明了防重入修饰函数不能完全解决这种伪重入问题，最好的方法还是限制call函数转账调用，用更安全的transfer函数限制转账gas消耗。

四．事件总结

最近链上安全事件频繁发生，这次重入漏洞又造成了重大的经济损失，我们建议各大项目方认真审视自身代码，做好安全保障。同时官方发文称将会尽量弥补受害者被盗资金，如有最新进展，我们将会及时跟进。

标签：BNBSELSURGESURtogetherbnb最新版本下载selfkey币怎么挖SURGE币nsure币前景

莱特币热门资讯