Home
Mga Balita
Mga Detalye

Nasira ang DBXen Contract, inaasahang pagkawala ay $150,000

iconChaincatcher
I-share
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconSummary

expand icon
Ang contract ni DBXen ay na-exploit ngayon, na may nasabing pagkawala na $150,000. Ang problema ay mula sa mismatch sa pagkilala sa sender sa ilalim ng ERC2771 meta-transactions. Ang burnBatch() function ay gumamit ng _msgSender() sa gasWrapper(), habang ang onTokenBurned() ay gumamit ng msg.sender, na nagresulta sa maling pagtatawid ng user. Ito ay nagdulot ng mga error sa pagkalkula ng reward at fee sa claimFees() at claimRewards(). Ang ETH update ay nagpapakita ng patuloy na mga panganib sa smart contract. Ang BTC update ay nagteklar ng pangangailangan para sa patuloy na security audits.

Ayon sa ChainCatcher, ayon sa pagmamasid ng BlockSec, inatake ang DBXen contract ngayong umaga, na may tinatayang pagkawala ng humigit-kumulang $150,000. Ang pangunahing sanhi ay ang hindi pagkakasundo sa pagkakakilanlan ng tagapagpadala sa ilalim ng ERC2771 meta-transaction. Sa function na burnBatch(), ang gasWrapper() decorator ay gumagamit ng _msgSender() (totoong user) upang i-update ang estado, habang ang callback function na onTokenBurned() ay gumagamit ng msg.sender (forwarder). Ito ay nagresulta sa pag-i-record ng accCycleBatchesBurned sa pangalan ng user, ngunit ang lastActiveCycle ay maliit na i-update sa pangalan ng forwarder. Ang hindi pagkakasundo na ito ay nagbubulsa sa lohika ng claimFees() at claimRewards(). Kapag tinataasan ang updateStats() para sa user, ang contract ay maliit na naniniwala na mayroong hindi nalulutas na nai-burn na batch, dahil ang accCycleBatchesBurned ay na-update ngunit ang lastActiveCycle ay hindi, na nagresulta sa maling kalkulasyon ng mga reward at bayarin, na nagpapahintulot sa attacker na tarikin ang sobrang pondo at kumita.

Source:Ipakita ang original
Disclaimer: Ang information sa page na ito ay maaaring nakuha mula sa mga third party at hindi necessary na nagre-reflect sa mga pananaw o opinyon ng KuCoin. Ibinigay ang content na ito para sa mga pangkalahatang informational purpose lang, nang walang anumang representation o warranty ng anumang uri, at hindi rin ito dapat ipakahulugan bilang financial o investment advice. Hindi mananagot ang KuCoin para sa anumang error o omission, o para sa anumang outcome na magreresulta mula sa paggamit ng information na ito. Maaaring maging risky ang mga investment sa mga digital asset. Pakisuri nang maigi ang mga risk ng isang produkto at ang risk tolerance mo batay sa iyong sariling kalagayang pinansyal. Para sa higit pang information, mag-refer sa aming Terms ng Paggamit at Disclosure ng Risk.