🚨 Предупреждение SlowMist TI 🚨 💸 Потери: 85 519,47 USDT 🔍 Причина: Функция `cliamRewred` в `LegendaryMoneyMonNft` позволяет произвольно запрашивать награды. Единственная авторизация зависит от `verify()`, которая проверяет `recoverSigner(...) == admin`. Функция `recoverSigner` не проверяет, возвращает ли `ecrecover` `address(0)`, а `changeadmin()` позволяет установить администратора в нулевой адрес. Злоумышленник использовал недействительную подпись (r=0, s=0, v=27), которая возвращает `address(0)` из `ecrecover`, и проверка прошла, потому что в этот момент `admin` был нулевым адресом. 📌 Злоумышленник: 0xe1582248c593df4b367e131922438fec9d76e787 📌 Жертвенная смарт-контракт: 0x92d60629ff5d53a0098b51e9b1d59546d1d8e5b6 📌 Уязвимый смарт-контракт: 0x92d60629ff5d53a0098b51e9b1d59546d1d8e5b6 Злоумышленник использовал обход через нулевой адрес подписи, чтобы изъять все токены из контракта и обменять их на USDT через PancakeSwap. Разработано с использованием #SlowMist.AI
Поделиться
Источник:Показать оригинал
Отказ от ответственности: Информация на этой странице может быть получена от третьих лиц и не обязательно отражает взгляды или мнения KuCoin. Данный контент предоставляется исключительно в общих информационных целях, без каких-либо заверений или гарантий, а также не может быть истолкован как финансовый или инвестиционный совет. KuCoin не несет ответственности за ошибки или упущения, а также за любые результаты, полученные в результате использования этой информации.
Инвестиции в цифровые активы могут быть рискованными. Пожалуйста, тщательно оценивайте риски, связанные с продуктом, и свою устойчивость к риску, исходя из собственных финансовых обстоятельств. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Уведомлением о риске.