BRA事件 漏洞分析

  • Archime
  • 更新于 2023-01-16 08:50
  • 阅读 3001

BRA事件 漏洞分析

1. 漏洞简介

https://twitter.com/BlockSecTeam/status/1612701106982862849

1.png

2. 相关地址或交易

攻击交易: https://phalcon.blocksec.com/tx/bsc/0x6759db55a4edec4f6bedb5691fc42cf024be3a1a534ddcc7edd471ef205d4047 攻击合约:0x1fae46b350c4a5f5c397dbf25ad042d3b9a5cb07 攻击账号:0x67a909f2953fb1138bea4b60894b51291d2d0795 被攻击合约:BRA 0x449fea37d339a11efe1b181e5d5462464bba3752

3. 获利分析

2.png

4. 攻击过程&漏洞原因

查看攻击交易过程,可以发现当攻击者先给池子转移10539350743918941916677单位BRA代币,调用skim0x8f4b-Cake-LP池子的BRA代币逐渐增多:

3.png 查看BRA合约的transfer函数,发现当函数的sender、recipient均为uniswapV2Pair且isAllow、isAllowSell均为false时,会凭空增加tax的税费,并且最终这笔税费流入uniswapV2Pair,最终导致BRA代币增发:

4.png

5.png 攻击者将增发的代币兑换成BSC-USD,归还闪电贷,离场:

6.png

点赞 0
收藏 0
分享

0 条评论

请先 登录 后评论
Archime
Archime
0x96C4...508C
江湖只有他的大名,没有他的介绍。