零时科技 | DCFToken 攻击事件分析
💡
原文中文,约1900字,阅读约需5分钟。
📝
内容提要
近期,BnbSmartChain 上的 DCFToken 项目遭遇链上攻击,攻击者通过操控合约和价格套利获利约 8800 美元。利用 flash 贷和未开源合约的兑换功能,攻击者反复掏空 DCFToken,最终通过 PancakeSwap 兑换获利。此事件暴露了项目方在价格计算上的漏洞,建议加强合约审计和经济模型设计。
🎯
关键要点
- 近期,BnbSmartChain上的DCFToken项目遭遇链上攻击,攻击者获利约8800美元。
- 攻击者通过操控合约和价格套利,利用flash贷和未开源合约的兑换功能反复掏空DCFToken。
- 攻击者创建新合约,利用flash贷从PancakeSwapV3Pool借出资金进行攻击。
- 攻击者通过未开源合约的兑换功能将DUSD兑换为BUSDT,导致价格操控。
- 攻击者利用购买的DUSD购买DCFToken,并重复操作直至掏空合约中的DCFToken。
- 攻击者通过PancakeSwap将DCFToken兑换为BUSDT,操纵价格从1 BUSDT = 126 DCFToken拉升至1 BUSDT = 3 DCFToken。
- 攻击者利用合约中的DUSD兑换BUSDT,继续掏空项目方合约中的资金。
- 漏洞成因在于DCFToken项目方合约在价格计算上依赖单一来源,导致价格被操控。
- 建议项目方在经济模型和价格计算机制设计时进行多方验证,并选择多个审计公司进行交叉审计。
➡️
