PANews 9月17日消息,据BlockSec Phalcon警报,数小时前其系统在BSC上检测到一系列针对一未经验证合约(0x93fD192e1CD288F1f5eE0A019429B015016061F9)的可疑交易,造成约15万美元损失。问题根源在于该合约的推荐奖励设计:奖励计算依赖于可被操纵的BURN/BUSD交易对的现货价格。 攻击详细过程: 当用户通过推荐人质押或锁定BURN代币时,该合约以BUSD的形式向用户发放推荐奖励。这些奖励是根据质押/锁定的BURN数量以及BURN/BUSD的实时现货价格来计算的。 攻击者利用这一漏洞,通过闪电贷操纵BURN的价格。随后,他们反复创建新合约,绕过两项关键限制——“每个地址仅限一次推荐”规则和最高投资限额,从而得以累积人为虚高的BUSD奖励。 之后,攻击者抛售剩余借来的BURN代币,重新购入BUSD,此举导致BURN价格下跌。最后,他们利用之前累积的BUSD额度,以这一低价申购BURN,意图从中获利。
