零时科技 | DCFToken 攻击事件分析
内容提要
近期,BnbSmartChain 上的 DCFToken 项目遭遇链上攻击,攻击者通过操控合约和价格套利获利约 8800 美元。利用 flash 贷和未开源合约的兑换功能,攻击者反复掏空 DCFToken,最终通过 PancakeSwap 兑换获利。此事件暴露了项目方在价格计算上的漏洞,建议加强合约审计和经济模型设计。
关键要点
-
近期,BnbSmartChain上的DCFToken项目遭遇链上攻击,攻击者获利约8800美元。
-
攻击者通过操控合约和价格套利,利用flash贷和未开源合约的兑换功能反复掏空DCFToken。
-
攻击者创建新合约,利用flash贷从PancakeSwapV3Pool借出资金进行攻击。
-
攻击者通过未开源合约的兑换功能将DUSD兑换为BUSDT,导致价格操控。
-
攻击者利用购买的DUSD购买DCFToken,并重复操作直至掏空合约中的DCFToken。
-
攻击者通过PancakeSwap将DCFToken兑换为BUSDT,操纵价格从1 BUSDT = 126 DCFToken拉升至1 BUSDT = 3 DCFToken。
-
攻击者利用合约中的DUSD兑换BUSDT,继续掏空项目方合约中的资金。
-
漏洞成因在于DCFToken项目方合约在价格计算上依赖单一来源,导致价格被操控。
-
建议项目方在经济模型和价格计算机制设计时进行多方验证,并选择多个审计公司进行交叉审计。
延伸问答
DCFToken攻击事件的主要经过是什么?
攻击者通过创建新合约,利用flash贷从PancakeSwap借出资金,操控合约和价格套利,最终获利约8800美元。
攻击者是如何操控DCFToken价格的?
攻击者通过未开源合约的兑换功能,将DUSD兑换为BUSDT,操控价格从1 BUSDT = 126 DCFToken拉升至1 BUSDT = 3 DCFToken。
此次攻击事件暴露了哪些项目方的漏洞?
漏洞在于项目方合约在价格计算上依赖单一来源,导致价格被操控,建议加强合约审计和经济模型设计。
攻击者使用了哪些技术手段进行攻击?
攻击者利用flash贷、未开源合约的兑换功能和PancakeSwap进行价格操控和套利。
针对DCFToken项目方的建议是什么?
建议项目方在经济模型和价格计算机制设计时进行多方验证,并选择多个审计公司进行交叉审计。
此次攻击事件的最终获利是多少?
攻击者通过此次操作最终获利约8763 BUSDT。
