ChainCatcher informa que, según el monitoreo de BlockSec, el contrato DBXen sufrió un ataque esta mañana, con pérdidas estimadas de aproximadamente 150.000 dólares. La causa raíz es una inconsistencia en la identidad del remitente bajo la metatransacción ERC2771. En la función burnBatch(), el decorador gasWrapper() utiliza _msgSender() (el usuario real) para actualizar el estado, mientras que la función de devolución de llamada onTokenBurned() utiliza msg.sender (el forwarder). Esto hace que accCycleBatchesBurned se registre para el usuario, pero lastActiveCycle se actualice incorrectamente para el forwarder. Esta inconsistencia compromete la lógica de claimFees() y claimRewards(). Cuando updateStats() se ejecuta para el usuario, el contrato incorrectamente considera que existen lotes quemados no procesados, ya que accCycleBatchesBurned se ha actualizado pero lastActiveCycle no, lo que lleva a un cálculo erróneo de recompensas y comisiones, permitiendo al atacante extraer fondos excesivos y obtener ganancias.
Contrato de DBXen comprometido, pérdida estimada en $150,000
ChaincatcherCompartir
Resumen
El contrato de DBXen fue explotado hoy, con pérdidas estimadas en $150,000. El problema surgió de una discrepancia en la identificación del remitente en las meta-transacciones ERC2771. La función burnBatch() utilizaba _msgSender() en gasWrapper(), mientras que onTokenBurned() utilizaba msg.sender, lo que causó un seguimiento incorrecto de los usuarios. Esto generó errores en los cálculos de recompensas y comisiones en claimFees() y claimRewards(). La actualización de ETH muestra riesgos continuos en contratos inteligentes. La actualización de BTC resalta la necesidad de auditorías de seguridad continuas.
Fuente:Mostrar original
Descargo de responsabilidad: La información contenida en esta página puede proceder de terceros y no refleja necesariamente los puntos de vista u opiniones de KuCoin. Este contenido se proporciona solo con fines informativos generales, sin ninguna representación o garantía de ningún tipo, y tampoco debe interpretarse como asesoramiento financiero o de inversión. KuCoin no es responsable de ningún error u omisión, ni de ningún resultado derivado del uso de esta información.
Las inversiones en activos digitales pueden ser arriesgadas. Evalúa con cuidado los riesgos de un producto y tu tolerancia al riesgo en función de tus propias circunstancias financieras. Para más información, consulta nuestras Condiciones de uso y la Declaración de riesgos.