目前一攻击者已归还1500枚BNB,Allbridge正邀请另一攻击者谈判。
零时科技区块链安全情报平台监控到消息,北京时间2023年4月1日,BSC链上Allbridge跨链桥受到黑客攻击,攻击者获利约57万美元,攻击者地址为0xc578d755cd56255d3ff6e92e1b6371ba945e3984,被盗资金转移至Tornado.cash混币平台。零时科技安全团队及时对此安全事件进行分析。
合约中执行兑换操作函数swapToVUsd中计算兑换结果方式为合约中当前记录BUSD余额与计算转入token后的数量转换为BUSD的差值得到的,因此攻击者通过存取大量资金以及进行大量代币兑换实现对池子中代币价格控制。
此次攻击是由于攻击者可以通过大额存取资金和进行兑换,从而修改交易池中代币的比例,实现用较少的BUSD兑换出大额USDT从而获利。
建议对合约中进行代币兑换的函数添加最大兑换比判断,避免当池子中代币数量差值较大时执行兑换产生较大损失。
建议项目方上线前进行多次审计,避免出现审计步骤缺失
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!