TINU Token遭闪电贷攻击,损失35000美金!

admin 2023年1月28日14:17:45评论89 views字数 937阅读3分7秒阅读模式

根据NUMEN链上监控显示,Jan-26-2023 07:10:47 AM +UTC时间,Ethereum链上TINU Token遭到闪电贷攻击,损失了22枚ETH,价值35000美元。攻击者地址0x14d8Ada7A0BA91f59Dc0Cb97C8F44F1d177c2195,攻击交易0x6200bf5c43c214caa1177c3676293442059b4f39eb5dbae6cfd4e6ad16305668,攻击者合约0xDb2d869ac23715af204093e933f5EB57F2DC12a9,该合约目前已自毁。

TINU Token遭闪电贷攻击,损失35000美金!

攻击分析

攻击者通过闪电贷获取ETH资金,随后通过使用WETH资金在Uniswap交易对中兑换TINU Token。

TINU Token遭闪电贷攻击,损失35000美金!

之后攻击者调用TINU合约deliver()方法更新多个变量,随即通过交易对合约skim()方法取出多余的TINU Token资金,并再次更新TINU合约deliver()方法涉及的变量。

TINU Token遭闪电贷攻击,损失35000美金!

最终攻击者通过获取的大量TINU Token资金,兑换ETH后获利离场,归还闪电贷资金后,此次攻击共获取22枚ETH。

TINU Token遭闪电贷攻击,损失35000美金!

攻击复现

EXP

通过闪电贷兑换得到的TINU Token、调用deliver更新变量、调用skim和swap获取资金。

TINU Token遭闪电贷攻击,损失35000美金!

测试结果

TINU Token遭闪电贷攻击,损失35000美金!

通过测试,我们发现测试结果与攻击者的获利一致22140751624171150782。

总结

NUMEN实验室提醒项目方,合约经济逻辑需要进行严格计算和测试,特别是审查合约是否存在可被闪电贷利用的漏洞风险。合约上线前需要进行多家安全审计,保障合约风险尽可能被消除在链下。NUMEN专注于为Web3生态安全保驾护航。

Numen 官网
https://numencyber.com/ 
GitHub
https://github.com/NumenCyber
Twitter
https://twitter.com/@numencyber
Medium
https://medium.com/@numencyberlabs
LinkedIn
https://www.linkedin.com/company/numencyber/

原文始发于微信公众号(Numen Cyber Labs):TINU Token遭闪电贷攻击,损失35000美金!

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月28日14:17:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   TINU Token遭闪电贷攻击,损失35000美金!https://cn-sec.com/archives/1526465.html

发表评论

匿名网友 填写信息