• 网站首页
  • 国内
  • 国际
  • 产业
  • 宏观
  • 公司
  • 体育
  • 评论
  • 人物
  • 太平洋在线
  • 又是手续费惹的祸!Uranium 协议黑客攻击分析

    发布时间: 2021-04-29 00:00首页:主页 > 国际 > 阅读()

    2021 年 4 月 28 日,Uranium 项目方在 Twitter 上发出消息,称其下的 AMM 协议遭受黑客攻击,涉及资金高达 5000 万美元,且项目方正在与币安团队联系,并提醒用户停止交易。知道创宇区块链安全实验室在收到相关消息后第一时间展开分析:

    项目链接:https://uranium.finance/

    事件分析

    具体攻击过程如下:

    攻击者首先通过创建攻击合约(0x2b528a28451e9853F51616f3B0f6D82Af8bEA6Ae)发起攻击,攻击交易记录如下:

    攻击合约没有开源,不过反编译代码,发现了攻击者的攻击过程:

    反编译代码如下:

    https://bscscan.com/bytecode-decompiler?a=0x2b528a28451e9853f51616f3b0f6d82af8bea6ae

    伪代码中某函数显示攻击者先遍历存在的 pair 交易对并更新合约代币余额信息,然后授权两种代币数额,并调用 transfer 函数向 pair 合约发起数额为 1 的转账,然后外部调用 swap 函数进行兑换套利攻击。

    浏览器记录如下:

    通过不停的循环该操作,攻击者就能以很少的代币数额把合约中大量的代币提取出来,又因为攻击者在不停的循环存在的 pair 合约地址,导致其资产在短时间内被大量套利。

    分析 pai 合约,发现其修改了 uniswap 的千分之三手续费,改为了万分之十六,但是代码没有更新完善,导致其分母还是一千的平方,判断基本能恒定通过:

    导致了攻击者能套利其中大量的代币。

    事件结论

    本次事件由于攻击者利用了 pair 合约手续费代码更新没有完善的问题,计算出了每次可以套利的代币数量,使其能通过合约中 K 值判断,造成了大量代币的损失。在此知道创宇区块链安全实验室提醒各大项目方在项目正式上线前一定要做好代码安全审计以及风控分析,以确保用户和项目方的资金安全。

    特别声明:文章内容仅供参考,不造成任何投资建议。投资者据此操作,风险自担。

    网站首页 - 国内 - 国际 - 产业 - 宏观 - 公司 - 体育 - 评论 - 人物 - 太平洋在线

    本站不良内容举报联系客服QQ: 官方微信: 服务热线:

    未经本站书面特别授权,请勿转载或建立镜像

    Copyright © 2002-2019 太平洋在线资讯网 版权所有 XMl地图