SharkTeam 2021-08-17 17:10

摘要:

闪电贷攻击：XSURGE被黑事件分析

北京时间8月17日，BSC上DeFi项目XSURGE遭遇闪电贷攻击。当地时间8月16日，XSURGE官方在遭攻击前曾发布了关于SurgeBNB漏洞的声明，由于SurgeBNB合约不可更改且已被放弃，因此无法修补该漏洞。XSURGE称没有透露任何关于此漏洞性质的具体细节，但强烈建议用户尽快迁移出SurgereBnb，该漏洞随时可能被攻击者触发。在声明发布后，XSURGE随后便遭遇攻击，攻击者在SurgeBNB中窃取了500万美元。

SharkTeam第一时间对此事件进行了攻击分析和技术分析，并总结了安全防范手段，希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。

一、事件分析

攻击交易：0x7e2a6ec08464e8e0118368cb933dc64ed9ce36445ecf9c49cacb970ea78531d2

 

（1） 攻击合约通过闪电贷从PancakeSwap中借了10000 BNB。

（2）攻击合约使用10000 BNB买入SURGE，买入的函数如下：执行过程如下：

买入的BURGE如下：

（3）将买入的BURGE卖出，调用BurgeToken合约中的sell函数，执行过程如下：

在该过程中，发现在BNB转账的时候，攻击合约再次将收到的BNB转账到了BurgeToken合约中，再次触发了购买BURGE的业务。

根据sell函数的代码以及BurgeToken合约的receive函数，的确可能在sell过程中发生转账，然后在sell函数尚未修改状态变量之前再次购买BURGE。

在sell函数中重入了purchase函数，在重入的purchase函数中，_totalSupply没有减掉sell函数中卖出的BNB数量，造成可以买入更多的SURGE。

（4）重复以上步骤3次后，攻击者合约中获取了高达3,896,288,852,239,440,000 BURGE，兑换成BNB有22191 BNB，偿还了闪电贷以及手续费10030 BNB，剩余的12161 BNB为攻击者此次攻击获取的利润，最后将获得的BNB转入到攻击者的账户。

二、安全建议

此次事件是又一次与闪电贷有关的安全事件，DeFi项目的业务逻辑设计复杂，涉及的经济学计算和参数较多，却不同项目和协议之间可组合性极其丰富，很难预测，非常容易出现安全漏洞。如下表，利用闪电贷这种新型产品进行攻击的DeFi事件在过去的一年里层出不穷，已增加到37起。通常闪电贷攻击包括“哄抬套利”、“操纵预言机”、“重入攻击”和“技术漏洞”四种，本次属于基于利用“重入漏洞”进行攻击。

SharkTeam提醒您，在涉足区块链项目时请提高警惕，选择更稳定、更安全，且经过完备多轮审计的公链和项目，切不可将您的资产置于风险之中，沦为黑客的提款机。而作为项目方，智能合约安全关系用户的财产安全，至关重要！区块链项目开发者应与专业的安全审计公司合作，进行多轮审计，避免合约中的状态和计算错误，为用户的数字资产安全和项目本身安全提供保障。

SharkTeam作为领先的区块链安全服务团队，为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成，满足不同客户需求，独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容，全面保障智能合约安全。

和2万人一起加入鸵鸟社群

添加QQ群：645991580

添加TG群：鸵鸟中文社区https://t.me/tuoniaox

声明： 鸵鸟区块链所有发布内容均为原创或授权发布，如需转载，请务必注明文章作者以及来源：鸵鸟区块链（微信公众号：MyTuoniao），任何不尊重原创的行为鸵鸟区块链都将进行责任追究！鸵鸟区块链报道和发布内容，不构成任何投资建议。