币安智能链上的项目iVest于 2024 年 8 月 12 日遭受攻击,截至撰写本文时估计损失约为 172,000 美元。该事件凸显了用于提供税收和捐赠等附加功能的ERC20自定义转账功能中的漏洞。
概述
攻击者:
https://bscscan.com/address/0x4645863205b47a0A3344684489e8c446a437D66C
脆弱合约:
https://bscscan.com/address/0x786fcf76dc44b29845f284b81f5680b6c47302c6
交易攻击: https://bscscan.com/tx/0x12f27e81e54684146ec50973ea94881c535887c2e2f30911b3402a55d67d121d
漏洞分析
攻击重点是__MakeDonation函数,该函数在转移iVest代币时被调用。在某些情况下,此函数会从发送者处销毁或捐赠额外的代币。从发送者处扣除的代币数量超过发送金额会导致交换池出现严重问题,因为攻击者可以使用它来减少池中的代币数量,改变k比率并实现价格操纵。