Theo Foresight News, BlockSec đã phát hiện một lỗ hổng bảo mật đáng ngờ nhắm vào một hợp đồng không xác định trên BSC, có khả năng liên quan đến giao thức đặt cọc LML/USDT, dẫn đến thiệt hại khoảng 950.000 đô la.
Mặc dù hợp đồng nạn nhân không phải là mã nguồn mở, nhưng phân tích cho thấy nó có thể có một lỗi thiết kế định giá: phần thưởng lĩnh nhận dường như được tính toán dựa trên giá TWAP/ảnh chụp nhanh, và kẻ tấn công đã có thể bán token phần thưởng ở mức giá spot bị thao túng, thu lợi nhuận thông qua thao túng giá và hoán đổi ngược. Kẻ tấn công đầu tiên đã thổi phồng giá của LML trong nhóm thông qua sê-ri các giao dịch (bao gồm một đường dẫn đặt người nhận thành địa chỉ(0)). Sau đó, sử dụng một địa chỉ được kiểm soát với số tiền đã được gửi trước đó, kẻ tấn công đã bắt đầu yêu cầu phần thưởng, do đó có được tư cách trực tiếp yêu cầu phần thưởng trong cuộc tấn công.
