$NGP token na BSC (@newgoldprotocol) byl hacknut za ~2 miliony USD. (tx viz komentář)
Hlavní příčinou se ukáže být špatná logika poplatků ve funkci trasfer tokenů.
Hack je velmi jednoduchý. Stačí vyměnit USDT->NGP a vyměnit zpět (P1). Protože vyžaduje velmi velké množství peněz, hacker použil mnoho vrstev flashpůjček od Morpho, uniswap V3 a venus (P2).
Tento token si při prodeji bude účtovat poměrnou část poplatků, což bylo při převodu do páru zapsáno do převodní funkce. Stejně jako P3 však byl poplatek zaplacen poolem PŘED převodem tokenu uživatelů do páru a byla vyvolána "synchronizace", aby se cena tokenu zvýšila.
Správný návrh:
(1) uživatel platí pokladnu ve výši x % poplatku;
(2) Uživatel převede token do poolu a prodá.
Zranitelná implementace:
(1) pokud je zjištěn prodej, převést z poolu do pokladny;
(2) volání pool.sync (zvýšení ceny tokenu)
(3) Uživatel převede token do poolu a prodeje.
Zobrazit originál
7,09 tis.
13
Obsah na této stránce poskytují třetí strany. Není-li uvedeno jinak, společnost OKX není autorem těchto informací a nenárokuje si u těchto materiálů žádná autorská práva. Obsah je poskytován pouze pro informativní účely a nevyjadřuje názory společnosti OKX. Nejedná se o doporučení jakéhokoli druhu a nemělo by být považováno za investiční poradenství ani nabádání k nákupu nebo prodeji digitálních aktiv. Tam, kde se k poskytování souhrnů a dalších informací používá generativní AI, může být vygenerovaný obsah nepřesný nebo nekonzistentní. Další podrobnosti a informace naleznete v připojeném článku. Společnost OKX neodpovídá za obsah, jehož hostitelem jsou externí weby. Držená digitální aktiva, včetně stablecoinů a tokenů NFT, zahrnují vysokou míru rizika a mohou značně kolísat. Měli byste pečlivě zvážit, zde je pro vás obchodování s digitálními aktivy nebo jejich držení vhodné z hlediska vaší finanční situace.