1.漏洞简介https://twitter.com/BlockSecTeam/status/16200748737952645122.相关地址或交易攻击交易:https://bscscan.com/tx/0x7360f073c246db7f28a65ace03045736f4b06d2
https://twitter.com/BlockSecTeam/status/1620074873795264512
攻击交易: https://bscscan.com/tx/0x7360f073c246db7f28a65ace03045736f4b06d26ce9ea618b88491b991efd1ad 攻击合约:0x558af3ea4d08726221a7612c0ab32f5c94bfcc2b 攻击账号:0xff9ab8e7895ecf05ee6a18f0c0c067eb73a58e65 被攻击合约:BSCAnt3 0x906e0becf3ffac20d248922f1cf27d54455fecc2
查看攻击交易过程,发现攻击者调用了合约0x3f04-BSCAnt3的burn方法,销毁了池子中8920743207549780 个BSCAnt3代币,这必将引起池子中的价格失衡。
这是一个可升级合约,查看逻辑合约代码,发现burn函数的可见性为public,无其它权限控制,这将导致所有人均可调用该方法销毁任意账号的任意数量代币。
攻击者操纵池子价格后即可用少量BSCAnt3代币兑换处大量BNB。
查看下逻辑合约(即漏洞合约)0x906E0beCF3FfAc20d248922F1cf27d54455fecC2的创建时间:
而攻击事件发生时间为:
也许真的有人在这么短的时间内发现了漏洞并写好了POC吧。。。。 ^_^
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!