Token $NGP na BSC (@newgoldprotocol) został zhakowany na kwotę ~2M USD. (tx zobacz komentarz)
Przyczyną problemu wydaje się być błędna logika opłat w funkcji transferu tokenów.
Hacking jest bardzo prosty. Wystarczy zamienić USDT->NGP i zamienić z powrotem (P1). Ponieważ wymaga to bardzo dużej kwoty pieniędzy, haker użył wielu warstw flashloan z Morpho, uniswap V3 i venus (P2).
Ten token pobiera proporcjonalne opłaty przy sprzedaży, co zostało zapisane w funkcji transferu przy przekazywaniu do pary. Jednak, jak w P3, opłata została zapłacona przez pulę PRZED tym, jak token użytkownika został przekazany do pary, a "sync" został wywołany, aby podnieść cenę tokena.
Poprawny projekt:
(1) użytkownik płaci skarbowi x% opłaty;
(2) użytkownik przekazuje token do puli i sprzedaje.
Wrażliwa implementacja:
(1) gdy wykryta zostanie sprzedaż, transfer z puli do skarbu;
(2) wywołanie pool.sync (podnosząc cenę tokena)
(3) użytkownik przekazuje token do puli i sprzedaje.
Pokaż oryginał
5,9 tys.
0
Treści na tej stronie są dostarczane przez strony trzecie. O ile nie zaznaczono inaczej, OKX nie jest autorem cytowanych artykułów i nie rości sobie żadnych praw autorskich do tych materiałów. Treść jest dostarczana wyłącznie w celach informacyjnych i nie reprezentuje poglądów OKX. Nie mają one na celu jakiejkolwiek rekomendacji i nie powinny być traktowane jako porada inwestycyjna lub zachęta do zakupu lub sprzedaży aktywów cyfrowych. Treści, w zakresie w jakim jest wykorzystywana generatywna sztuczna inteligencja do dostarczania podsumowań lub innych informacji, mogą być niedokładne lub niespójne. Przeczytaj podlinkowany artykuł, aby uzyskać więcej szczegółów i informacji. OKX nie ponosi odpowiedzialności za treści hostowane na stronach osób trzecich. Posiadanie aktywów cyfrowych, w tym stablecoinów i NFT, wiąże się z wysokim stopniem ryzyka i może podlegać znacznym wahaniom. Musisz dokładnie rozważyć, czy handel lub posiadanie aktywów cyfrowych jest dla Ciebie odpowiednie w świetle Twojej sytuacji finansowej.