Menurut pemantauan risiko keamanan Beosin EagleEye, peringatan dini dan pemantauan platform pemblokiran dari perusahaan audit keamanan blockchain Beosin**, kontrak LibertiVault pada rantai Polygon diserang, dan kerugian sekitar 123ETH dan 56.234USDT senilai sekitar 290.000 dolar AS , dan rantai Ethereum 35ETH dan 96223USDT bernilai sekitar US$160.000, dengan total lebih dari US$450.000. **Staf teknis menganalisis dan menemukan bahwa serangan ini disebabkan oleh kerentanan reentrancy dalam kontrak LibertiVault.

Penyerang meminjam 5 juta USDT menggunakan flash loan, dan memanggil fungsi deposit kontrak LibertiVault untuk berjanji. Logika janji akan menggunakan sebagian dari token yang dijanjikan untuk ditukar, lalu menghitung jumlah koin yang dicetak. Jumlah dari koin yang dicetak didasarkan pada kontrak dan setoran Perhitungan didasarkan pada rasio jumlah token yang disetorkan ke saldo sebelum kontrak disetorkan.
Pertukaran operasi pertukaran akan memanggil kontrak peretas. Pada saat ini, peretas memasukkan kembali setoran panggilan untuk pertama kalinya, dan memasukkan kembali fungsi ini untuk kedua kalinya, menyetor 2,5 juta USDT ke dalam kontrak.
Setelah masuk kembali kedua, kontrak akan mencetak koin untuk peretas sesuai dengan rasio 2,5 juta USDT ke saldo USDT dari kontrak sebelumnya. Setelah fungsi setoran masuk kembali pertama selesai, peretas menyetor lagi 2,5 juta USDT ke dalamnya.
Pada titik ini, operasi pertukaran dalam fungsi deposit luar selesai, dan kontrak akan mencetak koin sesuai dengan rasio 2,5 juta USDT terhadap saldo kontrak USDT.
Masalahnya terletak pada poin keempat, logikanya perhitungan kedua saldo akad seharusnya saldo sebelumnya ditambah saldo 2,5 juta yang dimasukkan pertama kali sebagai parameter perhitungan ini, tapi ini Bentuknya masuk kembali, saldo kontrak telah diperoleh di awal, sehingga parameternya tidak berubah, dan saldo asli masih digunakan untuk perhitungan, sehingga mencetak sejumlah besar token voucher untuk peretas.
Akhirnya, peretas menghapus token dan mengembalikan flash loan untuk mendapatkan keuntungan.

Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke Penafian.

Komentar

0/400

Tidak ada komentar