币圈头条-获取币圈情报,读懂区块链产业!

安全团队:Flurry Finance攻击利用了RhoToken token的rebase机制

4月25日,Cobo区块链安全团队对Flurry Finance的攻击进行了分析,发现这次攻击不同于经典的闪电贷款操纵预言机的攻击方式,而是利用了Flurry Finance中RhoToken token的rebase机制。该漏洞的本质原因是协议重定Rhotoken时,计算乘数的公式依赖于外部可控的数据(银行中的令牌数)。这样,攻击者可以通过闪电贷款操纵乘数,然后从中获利。虽然这种攻击使用了伪造ERC20重写approve方法,然后使用兔子金融的strategy清算契约来执行任意代码的技术,但是这种技术所涉及的契约代码本身其实是没有安全问题的。

Cobo区块链安全团队提醒,开发者在项目开发时计算资产数量和价格时,需要特别注意合同是否依赖一些可能被恶意操纵的外部数据。事实上,闪贷操纵预言机的典型攻击模式,也是由于项目中一些关键内部指标的计算依赖于DEX池中的代币价格而导致的。

此前,2月22日,BSC链中的Flurry Finance遭到闪电贷攻击,导致协议中金库合同价值数十万美元的资产被盗。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。