SEL:XSURGE閃電貸攻擊事件分析-ODAILY

一．事件背景

8月17日，有消息爆出BSC上DeFi協議XSURGE遭到閃電貸攻擊，被盜金額價值500萬美金。知道創宇區塊鏈安全實驗室迅速展開分析。

二．攻擊合約及交易

攻擊合約地址：

0x1514AAA4dCF56c4Aa90da6a4ed19118E6800dc46

0xscope：部分個人投資者和機構今天虧本出售其ARB代幣:4月3日消息，Web3知識圖譜協議0xscope在推特上表示：“ARB代幣引發信任危機，一些個人投資者和機構今天選擇虧本出售其ARB代幣。1.一位個人投資者0x92fa僅空投了875枚ARB代幣，但在領取空投前購買了140,000枚ARB代幣；5小時前，0x92fa以近4萬美元的損失出售了其所有的ARB代幣。2.一個鯨魚地址0x09d4此前收到了10,250枚ARB代幣空投，之后從DEX和幣安以1.3美元左右的均價額外購買了190萬枚ARB代幣；5小時前，0x09d4售出了70萬枚ARB代幣。3.FalconX向幣安轉移了75.3萬枚ARB代幣，這些代幣是在過去5天內在幣安上購買的。”[2023/4/3 13:42:20]

攻擊交易鏈接：

諾基亞與韓國AR公司MRXST就5G網絡與元宇宙融合解決方案進行合作:金色財經消息，韓國AR技術公司MRXST與諾基亞通信有限公司韓國分公司簽署合作協議，兩家公司將開發融合5G專用網絡和元宇宙平臺的集成解決方案。

MRXST負責元宇宙平臺的部分，包括XR空間地圖。諾基亞負責使用5G專用網絡的網絡解決方案和通信設備解決方案。

兩家公司計劃在2024年之前在韓國高校智能校園和智能工廠業務領域引入該融合的解決方案商業模式。（etnews）[2022/3/22 14:11:14]

https://bscscan.com/tx/0x7e2a6ec08464e8e0118368cb933dc64ed9ce36445ecf9c49cacb970ea78531d2

FXS將于12月21日上線BiKi并開啟流動性挖礦:據BiKi公告，FXS(Frax Share)將于12月21日15:40（GMT+8）上線BiKi，開放FXS/USDT交易對，現已開放充值，上線同時開放提現。

FXS上線同時開放網格流動性挖礦活動，用戶通過網格寶開啟FXS/USDT網格交易，滿足條件即可獲得網格+流動性挖礦雙收益。

Frax是分數算法穩定幣。Frax協議介紹了一種加密貨幣的概念，該概念部分由抵押支持，并在算法上得到部分穩定。[2020/12/21 15:57:39]

三．事件復盤

分析攻擊交易，攻擊者通過閃電貸借入BNB后購買surge代幣，然后不斷賣出再買入，最后套利離場，分析代幣源代碼可以發現，這次漏洞的原因是因為合約內的sell函數導致的重入漏洞。

sell函數計算完賣出代幣所值BNB數量后，合約會把BNB發送給攻擊合約，但是如果攻擊合約此時在回退函數中又執行了purchase函數，就會導致重入的發生。

觀察此次函數調用產生的影響，由于這是在sell函數中調用的purchase，所以totaslSupply還沒有銷毀掉sell的SurgeToken，導致totalSupply高于正常值，bnbAmount和prevBNBAmount的值會因為94%的手續費問題而有所變化，但也影響不大。

也就是說攻擊者通過買入-賣出-買入的操作，以更低的代幣價格獲取到了更多的surge代幣，值得一提的是因為sell函數中nonReentrant修飾函數的影響，攻擊合約只能重復之前的操作，也說明了防重入修飾函數不能完全解決這種偽重入問題，最好的方法還是限制call函數轉賬調用，用更安全的transfer函數限制轉賬gas消耗。

四．事件總結

最近鏈上安全事件頻繁發生，這次重入漏洞又造成了重大的經濟損失，我們建議各大項目方認真審視自身代碼，做好安全保障。同時官方發文稱將會盡量彌補受害者被盜資金，如有最新進展，我們將會及時跟進。

Tags：ARBSELFXSBNBMARBLEUSELESS價格prom幣和fxs幣哪個好togetherbnb游戲截圖

幣安幣