当前位置:首页 > 24小时接单的黑客免费 > 正文内容

EGD被黑客攻击损失超3.6万 BUSD,事件分析

admin3个月前 (08-21)24小时接单的黑客免费173

 

0x1 事件背景

零时科技区块链安全情报平台监控到消息,北京时间2022年8月8日,EGD加密项目疑似遭到黑客攻击,损失超3.6万 BUSD,零时科技安全团队及时对此安全事件进行分析。

 

0x2 攻击信息
  • 攻击者钱包地址:
  • 0xee0221d76504aec40f63ad7e36855eebf5ea5edd

  • 攻击合约地址:
  • 0xc30808d9373093fbfcec9e026457c6a9dab706a7

  • 攻击交易:
  • 0x50da0b1b6e34bce59769157df769eb45fa11efc7d0e292900d6b0a86ae66a2b3

  • EGD_Finance合约:
  • 0x93c175439726797dcee24d08e4ac9164e88e7aee

     

    0x3 攻击步骤

    1. 部署攻击合约,调用EGD_Finance合约中stake函数,向EGD_Finance合约发送 100 USD,获得userStakeList

    2.利用闪电贷从合约0x16b9a82891338f9ba80e2d6970fdda79d1eb0dae借出2000 USD至攻击者合约地址

    3. 使用闪电贷从BEP20USDT合约中借出424,456 USD

    4. 调用claimAllReward() 获得奖励 5,614,105 EGDToken

    5. 将从EGDFinance 合约中用闪电贷借出的USD 归还

    6. 将获得的5,052,695 EGDToken 兑换为37,327 USD

    7. 将从0x16b9a82891338f9ba80e2d6970fdda79d1eb0dae 通过闪电贷借出的资金归还

    8. 将获得的剩余资金发送至攻击者地址,共36,044 USD

     

    0x4 漏洞核心

    攻击者利用EGDToken的价格计算方式进行攻击

    获取EGD价格方式为用USD数量除EGD数量,当池子中USD数量价格减少时,EGDToken价格会下降。计算获得奖励的方法为quota/EGDPrice,即当EGDToken价格下降时,获得奖励会增加,攻击者利用这一漏洞进行攻击,利用闪电贷借出池子中USD,使池子中USD减少,EGDToken价格下降,此时获得奖励增加,将奖励取出后,将借出的USD还给池子,之后将EGDToken兑换为USD。

     

    0x5 资金流向

    资金由攻击者合约地址转入攻击者地址后目前还未移动

     

    总结及建议

    通过此次攻击来看,该次攻击核心主要为项目方合约Token价格计算机制过于简单,当USD数量变动较大时EGDToken数量跟着变动,使得攻击者能够通过影响池子中另一个代币数量来影响EGDToken奖励数量。

    安全建议

  • 建议对奖励计算方法进行详细设计
  • 建议项目方上线前进行多次审计,避免出现审计步骤缺失
  • 扫描二维码推送至手机访问。

    版权声明:本文由admin发布,如需转载请注明出处。

    本文链接:http://8008200958.com/article/7882.html

    分享给朋友:

    “EGD被黑客攻击损失超3.6万 BUSD,事件分析” 的相关文章

    网络安全宣传周系列动漫——邮件安全篇

    中国邮箱网讯 9月12日消息 电子邮件,人们几乎天天发、天天收。网络信息化时代,电子邮件已经成为常用通信工具,而且也成了企业内部主要的沟通工具。   然而,邮件安全问题也日益突出,逐渐成为电信诈骗、勒索软件攻击的重灾区。如何让邮件更安全?下面这组漫画,大家可以学习一下。   ■传输加密  ...

    网络安全宣传周系列动漫——邮件安全篇

    中国邮箱网讯 9月12日消息 电子邮件,人们几乎天天发、天天收。网络信息化时代,电子邮件已经成为常用通信工具,而且也成了企业内部主要的沟通工具。   然而,邮件安全问题也日益突出,逐渐成为电信诈骗、勒索软件攻击的重灾区。如何让邮件更安全?下面这组漫画,大家可以学习一下。   ■传输加密  ...

    先办事后付款的黑客—免费接单黑客QQ

      股民在选择证券配资平台时,都希望自己的资金有安全保障,目前市面上的证券配资平台很多,但大多良莠不齐。投资人在选择证券配资平台时需要认真考察,否则就不要轻易做出决定,如果证券平台不安全,那么很有可能本金都会搭进去。那么证券配资平台安全吗?证券配资平台可信吗?   证券配资平台安全吗   投资人想...

    输入对方手机直接定位

    其实在定位找人的时候,他是需要很多种方法的,无论是手机号,身份证号或者是其他的方法,当然针对于不同的方式,那么查询到的结果可能也会有一定的出入,一般的情况下,如果想要定位的话,那么通过手机号码来定位是比较准确的,因为现如今都是手机不离手,如果通过这样的方式定位,就能够准确的确定位置。1.通过手机号定...

    黑客教你3分钟盗微信号方法,教你如何入侵别人的微信!

    黑客教你3分钟盗微信号方法,教你如何入侵别人的微信!,跟着智内行机的接续遍及,手机社群软件曾经成为人们生存中不行或缺的对象。真相,与古代的打电话、发短信方法比拟,社群软件的方便性和获得信息的富厚性上风更为彰着。因此,在如许的布景下,较早发力社群平台的腾讯也成为了真确社群霸主,控股了微信和QQ。 黑...

    怎么盗取对方微信聊天记录?怎样盗别人的微信密码?

    怎么盗取对方微信聊天记录?怎样盗别人的微信密码?【黑客徽信:】专业盗取微信密码,开房查询,通话记录查询,查询微信聊天记录,非常靠谱!随着互联网的不断发展,生活中有很多新事物,这给我们的生活带来了很多乐趣,但每件事都有两面性。互联网给我们带来方便的同时,我们的个人信息也很容易被泄露,尤其是现在的移动支...

    发表评论

    访客

    ◎欢迎参与讨论,请在这里发表您的看法和观点。