安全公司：BSC上发现针对某未合约的可疑交易，造成约15万美元损失

PANews 9月17日消息，据BlockSec Phalcon警报，数小时前其系统在BSC上检测到一系列针对一未经验证合约（0x93fD192e1CD288F1f5eE0A019429B015016061F9）的可疑交易，造成约15万美元损失。问题根源在于该合约的推荐奖励设计：奖励计算依赖于可被操纵的BURN/BUSD交易对的现货价格。

攻击详细过程：

• 当用户通过推荐人质押或锁定BURN代币时，该合约以BUSD的形式向用户发放推荐奖励。这些奖励是根据质押/锁定的BURN数量以及BURN/BUSD的实时现货价格来计算的。
• 攻击者利用这一漏洞，通过闪电贷操纵BURN的价格。随后，他们反复创建新合约，绕过两项关键限制——“每个地址仅限一次推荐”规则和最高投资限额，从而得以累积人为虚高的BUSD奖励。
• 之后，攻击者抛售剩余借来的BURN代币，重新购入BUSD，此举导致BURN价格下跌。最后，他们利用之前累积的BUSD额度，以这一低价申购BURN，意图从中获利。

利好

利空