幣安智能鏈上的項目iVest於 2024 年 8 月 12 日遭受攻擊,截至撰寫本文時估計損失約為 172,000 美元。該事件凸顯了用於提供稅收和捐贈等附加功能的ERC20自定義轉賬功能中的漏洞。
概述
攻擊者:
https://bscscan.com/address/0x4645863205b47a0A3344684489e8c446a437D66C
脆弱合約:
https://bscscan.com/address/0x786fcf76dc44b29845f284b81f5680b6c47302c6
交易攻擊: https://bscscan.com/tx/0x12f27e81e54684146ec50973ea94881c535887c2e2f30911b3402a55d67d121d
漏洞分析
攻擊重點是__MakeDonation函數,該函數在轉移iVest代幣時被調用。在某些情況下,此函數會從發送者處銷燬或捐贈額外的代幣。從發送者處扣除的代幣數量超過發送金額會導致交換池出現嚴重問題,因為攻擊者可以使用它來減少池中的代幣數量,改變k比率並實現價格操縱。