ChainCatcher 消息,根據 BlockSec 監測,DBXen 合約今日上午遭遇攻擊,估計損失約 15 萬美元。根本原因在於 ERC2771 元交易下發送者身份不一致。在 burnBatch() 函數中,gasWrapper() 修飾器使用 _msgSender()(實際用戶)更新狀態,而回調函數 onTokenBurned() 使用 msg.sender(轉發器)。這導致 accCycleBatchesBurned 為用戶記錄,但 lastActiveCycle 錯誤地為轉發器更新。 該不一致性破壞了 claimFees() 和 claimRewards() 的邏輯。當為用戶運行 updateStats() 時,合約錯誤地認為存在未處理的已銷毀批次,因為 accCycleBatchesBurned 已更新而 lastActiveCycle 未更新,從而錯誤計算獎勵和費用,使攻擊者能夠提取超額資金獲利。
DBXen 合約遭攻擊,損失估計為 $150,000
Chaincatcher分享
精華摘要
DBXen 的智能合約今天遭攻擊,損失估計為 $150,000。問題源於 ERC2771 元交易中的發送者識別不一致。burnBatch() 函數在 gasWrapper() 中使用 _msgSender(),而 onTokenBurned() 則使用 msg.sender,導致用戶追蹤錯誤,進而造成 claimFees() 和 claimRewards() 中獎勵和費用計算出現錯誤。ETH 更新顯示智能合約風險持續存在。BTC 更新強調持續進行安全審計的必要性。
來源:顯示原文
免責聲明:本頁面資訊可能來自第三方,不一定反映KuCoin的觀點或意見。本內容僅供一般參考之用,不構成任何形式的陳述或保證,也不應被解釋為財務或投資建議。 KuCoin 對任何錯誤或遺漏,或因使用該資訊而導致的任何結果不承擔任何責任。
虛擬資產投資可能存在風險。請您根據自身的財務狀況仔細評估產品的風險以及您的風險承受能力。如需了解更多信息,請參閱我們的使用條款和風險披露 。