DBXen کنٹریکٹ کو استعمال کیا گیا، نقصان کا اندازہ $150,000 رکھا گیا ہے

ChainCatcher کی رپورٹ کے مطابق، BlockSec کے مانیٹرنگ کے مطابق، آج صبح DBXen کنٹریکٹ پر حملہ ہوا، جس کا تخمینہ 150,000 امریکی ڈالر کے نقصان کا ہے۔ اس کی بنیادی وجہ ERC2771 میٹا ٹرانزیکشن کے تحت بھیجنے والے کی شناخت میں عدم مطابقت ہے۔ burnBatch() فنکشن میں، gasWrapper() ڈکوریٹر _msgSender() (اصل صارف) کا استعمال کرتا ہے جبکہ کال بیک فنکشن onTokenBurned() msg.sender (فارورڈر) استعمال کرتا ہے۔ اس سے accCycleBatchesBurned صارف کے لیے ریکارڈ ہوتا ہے، لیکن lastActiveCycle غلط طور پر فارورڈر کے لیے اپڈیٹ ہوتا ہے۔ یہ عدم مطابقت claimFees() اور claimRewards() کے منطق کو متاثر کرتی ہے۔ جب updateStats() صارف کے لیے چلتا ہے، تو کنٹریکٹ غلط طور پر یہ سمجھتا ہے کہ ان پروسیس نہ ہونے والی بیچس موجود ہیں، کیونکہ accCycleBatchesBurned اپڈیٹ ہو چکا ہے لیکن lastActiveCycle اپڈیٹ نہیں ہوا، جس سے انعامات اور فیس غلط طور پر کلکولیٹ ہوتے ہیں، جس کی وجہ سے حملہ آور زیادہ رقم نکال کر منافع حاصل کر پاتا ہے۔