🚨 Cảnh báo TI từ SlowMist 🚨 💸 Tổn thất: 85.519,47 USDT 🔍 Nguyên nhân gốc: Hàm `cliamRewred` trong `LegendaryMoneyMonNft` cho phép yêu cầu phần thưởng tùy ý. Việc xác thực duy nhất phụ thuộc vào hàm `verify()`, kiểm tra `recoverSigner(...) == admin`. Tuy nhiên, `recoverSigner` không xác minh xem `ecrecover` có trả về `address(0)` hay không, và hàm `changeadmin()` cho phép thiết lập admin thành địa chỉ bằng không. Kẻ tấn công đã sử dụng chữ ký không hợp lệ (r=0, s=0, v=27), khiến `ecrecover` trả về `address(0)`, qua được kiểm tra vì lúc đó `admin` đang là địa chỉ bằng không. 📌 Kẻ tấn công: 0xe1582248c593df4b367e131922438fec9d76e787 📌 Hợp đồng nạn nhân: 0x92d60629ff5d53a0098b51e9b1d59546d1d8e5b6 📌 Hợp đồng dễ bị tổn thương: 0x92d60629ff5d53a0098b51e9b1d59546d1d8e5b6 Kẻ tấn công đã khai thác lỗ hổng bỏ qua chữ ký địa chỉ bằng không để trích xuất toàn bộ token từ hợp đồng và đổi chúng lấy USDT thông qua PancakeSwap. Được hỗ trợ bởi #SlowMist.AI
Chia sẻ
Nguồn:Hiển thị bản gốc
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể được lấy từ bên thứ ba và không nhất thiết phản ánh quan điểm hoặc ý kiến của KuCoin. Nội dung này chỉ được cung cấp cho mục đích thông tin chung, không có bất kỳ đại diện hay bảo đảm nào dưới bất kỳ hình thức nào và cũng không được hiểu là lời khuyên tài chính hay đầu tư. KuCoin sẽ không chịu trách nhiệm về bất kỳ sai sót hoặc thiếu sót nào hoặc về bất kỳ kết quả nào phát sinh từ việc sử dụng thông tin này.
Việc đầu tư vào tài sản kỹ thuật số có thể tiềm ẩn nhiều rủi ro. Vui lòng đánh giá cẩn thận rủi ro của sản phẩm và khả năng chấp nhận rủi ro của bạn dựa trên hoàn cảnh tài chính của chính bạn. Để biết thêm thông tin, vui lòng tham khảo Điều khoản sử dụng và Tiết lộ rủi ro của chúng tôi.