$NGP token på BSC (@newgoldprotocol) hackades för ~2 miljoner usd. (tx se coment)
Grundorsaken verkar vara en felaktig avgiftslogik i tokens trasfer-funktion.
Hacket är mycket enkelt. Byt bara USDT->NGP och byt tillbaka (P1). Eftersom det kräver en mycket stor summa pengar använde hackaren många lager av flashloan från Morpho, uniswap V3 och venus (P2).
Denna token kommer att ta ut en del av avgifterna vid försäljning, som skrevs i överföringsfunktionen vid överföring till paret. Men som P3 betalades avgiften av poolen INNAN användarnas token överfördes till paret, och "sync" anropades för att få tokenpriset att gå upp.
Korrekt design:
(1) Användaren betalar statskassan x % av avgiften;
(2) Användaren överför token till poolen och säljer.
Den sårbara implementeringen:
(1) när en försäljning upptäcks, överföring från pool till kassa;
(2) Ring Pool.Sync (driver upp priset på token)
(3) Användaröverföringstoken för att slå samman och sälja.
Visa original
5,9 tn
0
Innehållet på den här sidan tillhandahålls av tredje part. Om inte annat anges är OKX inte författare till den eller de artiklar som citeras och hämtar inte någon upphovsrätt till materialet. Innehållet tillhandahålls endast i informationssyfte och representerar inte OKX:s åsikter. Det är inte avsett att vara ett godkännande av något slag och bör inte betraktas som investeringsrådgivning eller en uppmaning att köpa eller sälja digitala tillgångar. I den mån generativ AI används för att tillhandahålla sammanfattningar eller annan information kan sådant AI-genererat innehåll vara felaktigt eller inkonsekvent. Läs den länkade artikeln för mer detaljer och information. OKX ansvarar inte för innehåll som finns på tredje parts webbplatser. Innehav av digitala tillgångar, inklusive stabila kryptovalutor och NFT:er, innebär en hög grad av risk och kan fluktuera kraftigt. Du bör noga överväga om handel med eller innehav av digitala tillgångar är lämpligt för dig mot bakgrund av din ekonomiska situation.