ChainCatcher รายงานว่า ตามการตรวจสอบของ BlockSec คอนแทรกต์ DBXen ได้รับการโจมตีเมื่อเช้านี้ โดยมีการสูญเสียประมาณ 150,000 ดอลลาร์สหรัฐ สาเหตุหลักเกิดจากความไม่สอดคล้องกันของตัวระบุผู้ส่งภายใต้ ERC2771 meta-transaction ในฟังก์ชัน burnBatch() ตัวปรับแต่ง gasWrapper() ใช้ _msgSender() (ผู้ใช้จริง) เพื่ออัปเดตสถานะ ขณะที่ฟังก์ชันเรียกคืน onTokenBurned() ใช้ msg.sender (ตัวส่งต่อ) สิ่งนี้ทำให้ accCycleBatchesBurned ถูกบันทึกสำหรับผู้ใช้ แต่ lastActiveCycle ถูกอัปเดตผิดพลาดให้กับตัวส่งต่อ ความไม่สอดคล้องกันนี้ทำลายตรรกะของ claimFees() และ claimRewards() เมื่อ updateStats() ถูกเรียกใช้สำหรับผู้ใช้ คอนแทรกต์จะคิดผิดว่ามีชุดการเผาที่ยังไม่ได้ประมวลผล เนื่องจาก accCycleBatchesBurned ถูกอัปเดตแล้วแต่ lastActiveCycle ยังไม่ได้อัปเดต จึงคำนวณรางวัลและค่าธรรมเนียมผิดพลาด ทำให้ผู้โจมตีสามารถดึงเงินเกินกว่าที่ควรได้เพื่อทำกำไร
สัญญา DBXen ถูกโจมตี ความสูญเสียประมาณ $150,000
Chaincatcherแชร์
สรุป
สัญญาอัจฉริยะของ DBXen ถูกโจมตีวันนี้ โดยมีการสูญเสียประมาณ 150,000 ดอลลาร์สหรัฐ ปัญหานี้เกิดจากความไม่สอดคล้องกันในการระบุผู้ส่งภายใต้เมตา-ธุรกรรม ERC2771 ฟังก์ชัน burnBatch() ใช้ _msgSender() ใน gasWrapper() ในขณะที่ onTokenBurned() ใช้ msg.sender ทำให้การติดตามผู้ใช้ผิดพลาด ส่งผลให้เกิดข้อผิดพลาดในการคำนวณรางวัลและค่าธรรมเนียมใน claimFees() และ claimRewards() การอัปเดต ETH แสดงให้เห็นถึงความเสี่ยงที่ยังคงมีอยู่ในสัญญาอัจฉริยะ การอัปเดต BTC เน้นย้ำถึงความจำเป็นในการตรวจสอบความปลอดภัยอย่างต่อเนื่อง
แหล่งที่มา:แสดงต้นฉบับ
คำปฏิเสธความรับผิดชอบ: ข้อมูลในหน้านี้อาจได้รับจากบุคคลที่สาม และไม่จำเป็นต้องสะท้อนถึงมุมมองหรือความคิดเห็นของ KuCoin เนื้อหานี้จัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลทั่วไปเท่านั้น โดยไม่มีการรับรองหรือการรับประกัน และจะไม่ถูกตีความว่าเป็นคำแนะนำทางการเงินหรือการลงทุน KuCoin จะไม่รับผิดชอบต่อความผิดพลาดหรือการละเว้นในเนื้อหา หรือผลลัพธ์ใดๆ ที่เกิดจากการใช้ข้อมูลนี้
การลงทุนในสินทรัพย์ดิจิทัลอาจมีความเสี่ยง โปรดประเมินความเสี่ยงของผลิตภัณฑ์และความเสี่ยงที่คุณยอมรับได้อย่างรอบคอบตามสถานการณ์ทางการเงินของคุณเอง โปรดดูข้อมูลเพิ่มเติมได้ที่ข้อกำหนดการใช้งานและเอกสารเปิดเผยข้อมูลความเสี่ยงของเรา