SafeMoon ‘burn’合约漏洞带来8900万美元损失。
流动性池(LIQUIDITY POOL)是一池被锁在智能合约内的代币,借由提供流动性来促进交易。流动性池会被去中心化交易平台(DEX)所运用。SafeMoon协议是一种去中心化金融(Defi) 代币。根据SafeMoon官网信息,每次进行交易时,SafeMoon 皆会执行三项功能:反映(Reflection)、获得流动性提供者(Liquidity Provider) 与销毁。
3月29日,SafeMoon CEO John Karony发推确认3月28日SafeMoon token流动性池遭受网络攻击。黑客利用利用新创建的burn智能合约功能从流动性池中窃取了890万美元的token。Burn智能合约允许参与者以更高的价格出售SafeMoon币。
SafeMoon CEO 称,攻击影响SFM:BNB流动性池但不影响平台的功能,并且用户的token是安全的。
区块链安全专家PeckShield 也在推特上分享了关于SafeMoon burn漏洞的细节。PeckShield称,SafeMoon最近的升级引入了一个销毁token的新的智能合约。但是该功能被错误地设置为公开且无任何限制,因此任何人都可以执行该合约。Karony称该合约最早设计是用于紧急用途,比如流动性池面临恶意智能合约的风险、过量的贬值、以及其他瞬间损失。
黑客发现该漏洞后利用该合约销毁了大量的SafeMoon token,使得SafeMoon token的价格暴涨。价格暴涨后,另一个地址以高价出售了SafeMoon,从SafeMoon:WBNB流动性池中获利890万美元。
图 burn漏洞(PeckShield)
攻击发生几小时后,将SafeMoon转化为BNB的用户称其并非是攻击事件的发起者,只是意外进行了提前交易,并将向SafeMoon返回窃取的资金。随后,该用户将4000BNB转到了另一个地址,价值约126.44万美元。目前尚不清楚该钱包的所有者是否属于利用burn漏洞的攻击者。
参考及来源:https://www.bleepingcomputer.com/news/cryptocurrency/safemoon-burn-bug-abused-to-drain-89-million-from-liquidity-pool/