XSURGE閃電貸攻擊事件分析-ODAILY_比特幣

一．事件背景

8月17日，有消息爆出BSC上DeFi協議XSURGE遭到閃電貸攻擊，被盜金額價值500萬美金。知道創宇區塊鏈安全實驗室迅速展開分析。

二．攻擊合約及交易

攻擊合約地址：

0x1514AAA4dCF56c4Aa90da6a4ed19118E6800dc46

區塊鏈基礎設施提供商Aura Network推出Xstaxy主網:金色財經報道，區塊鏈基礎設施提供商Aura Network宣布Xstaxy主網將于世界標準時間 3 月 20 日 13:00 正式啟動。Aura Network通過將最新技術集成到 Xstaxy 主網中，旨在提供卓越的可擴展性、安全性和可靠性。[2023/3/21 13:15:54]

攻擊交易鏈接：

https://bscscan.com/tx/0x7e2a6ec08464e8e0118368cb933dc64ed9ce36445ecf9c49cacb970ea78531d2

FXStreet分析師：比特幣投資流入飆升，預計本周將推出另一比特幣ETF:10月19日消息，FXStreet分析師Sarah Tran表示，比特幣投資流入飆升，預計本周將推出另一比特幣ETF，首只比特幣ETF將于10月19日在紐約證交所開始交易。彭博分析師Balchunas預測另一個合約Valkyrie比特幣ETF可能會在本周晚些時候推出，該ETF上周已在納斯達克交易所獲得上市認證。首只比特幣ETF的批準導致加密貨幣市場看漲情緒的上升，數字資產投資產品上周流入8000萬美元。CoinShares報告稱，美國證交會最近批準比特幣ETF的決定可能會在未來幾周進一步推動大量資金流入，因為美國投資者開始增加頭寸。（金十）[2021/10/19 20:39:25]

三．事件復盤

UBOXSEA與北版科技達成業務合作:據官方消息，支持版權交易的多功能NFT平臺UBOXSEA已與北版科技（B＆B TECH）正式達成業務合作，在原有的NFT特性之上，融入現實世界版權體系，豐富NFT使用場景。目前UBOXSEA已進入內測階段，預計將在兩周后正式開放公測，首輪公測將推出百幅已進行版權登記的圖片NFT，價值$100,000，且經過版權登記的圖片NFT受到保護，NFT收藏家可對違規使用該NFT的情況依法追究責任。[2021/7/29 1:22:50]

分析攻擊交易，攻擊者通過閃電貸借入BNB后購買surge代幣，然后不斷賣出再買入，最后套利離場，分析代幣源代碼可以發現，這次漏洞的原因是因為合約內的sell函數導致的重入漏洞。

sell函數計算完賣出代幣所值BNB數量后，合約會把BNB發送給攻擊合約，但是如果攻擊合約此時在回退函數中又執行了purchase函數，就會導致重入的發生。

觀察此次函數調用產生的影響，由于這是在sell函數中調用的purchase，所以totaslSupply還沒有銷毀掉sell的SurgeToken，導致totalSupply高于正常值，bnbAmount和prevBNBAmount的值會因為94%的手續費問題而有所變化，但也影響不大。

也就是說攻擊者通過買入-賣出-買入的操作，以更低的代幣價格獲取到了更多的surge代幣，值得一提的是因為sell函數中nonReentrant修飾函數的影響，攻擊合約只能重復之前的操作，也說明了防重入修飾函數不能完全解決這種偽重入問題，最好的方法還是限制call函數轉賬調用，用更安全的transfer函數限制轉賬gas消耗。

四．事件總結

最近鏈上安全事件頻繁發生，這次重入漏洞又造成了重大的經濟損失，我們建議各大項目方認真審視自身代碼，做好安全保障。同時官方發文稱將會盡量彌補受害者被盜資金，如有最新進展，我們將會及時跟進。

Tags：比特幣NFTETFXST比特幣挖出來的樣子NFTT價格DOGETFXSTAR

比特幣最新價格