🚨 Alerte de sécurité SlowMist 🚨 💸 Perte : 85 519,47 USDT 🔍 Cause racine : La fonction `cliamRewred` dans `LegendaryMoneyMonNft` permet de réclamer des récompenses arbitraires. L’autorisation ne dépend que de `verify()`, qui vérifie `recoverSigner(...) == admin`. La fonction `recoverSigner` ne valide pas le fait que `ecrecover` retourne `address(0)`, et `changeadmin()` permet de définir l’administrateur sur l’adresse zéro. L’attaquant a utilisé une signature invalide (r=0, s=0, v=27), qui retourne `address(0)` via `ecrecover`, contournant ainsi la vérification car `admin` était à l’adresse zéro à ce moment-là. 📌 Attaquant : 0xe1582248c593df4b367e131922438fec9d76e787 📌 Contrat victime : 0x92d60629ff5d53a0098b51e9b1d59546d1d8e5b6 📌 Contrat vulnérable : 0x92d60629ff5d53a0098b51e9b1d59546d1d8e5b6 L’attaquant a exploité le contournement par signature d’adresse zéro pour vider tous les jetons du contrat et les échanger contre des USDT via PancakeSwap. Propulsé par #SlowMist.AI
Partager
Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations.
Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.