Foresight News 消息,據 BlockSec 監測,其在 BSC 上檢測到針對未知合約的可疑漏洞利用,或涉及 LML/USDT 質押協議,造成約 95 萬美元損失。
雖然受害合約並非開源,但分析表明其可能存在定價設計缺陷:可領取的獎勵似乎是基於 TWAP/ 快照價格計算的,而攻擊者能夠以操縱的現貨價格出售獎勵代幣,通過價格操縱和反向交換來牟利。攻擊者首先通過一系列交易(包括將接收方設為 address(0)的路徑)推高了池內 LML 的價格。隨後利用此前已存入資金的受控地址發起領獎操作,從而在攻擊期間獲得了直接領獎的資格。
