当前位置:首页 > 知识 >

比特币交易平台遭重入攻击,OUSD损失700万美金

此次攻击的关键是利用外部合约调用所造成的重入问题,结合了Vault的rebase机制。攻击者可以通过重入来获取大量收益分配。根据慢雾安全团队的分析,2020年11月17日,以太坊DeFi项目OUSD遭受闪电贷攻击。攻击者使用dydx闪电贷借出70000个ETH,并将其兑换为USDT和DAI。攻击者调用OUSDVault的mint函数,在进行一次rebase后转入750万USDT到OUSDVault中。攻击者利用mintMultiple函数传入DAI合约地址与攻击合约的地址,再次进行rebase并将2050万DAI转入Vault中。攻击者通过构造重入调用实现再次调用Vault的mint函数,并获取了超过价值1025万的收益分配。最后,攻击者将大部分的OUSD赎回,并通过Uniswap和Sushiswap的交易池将OUSD换成USDT来增加收益。这次攻击的关键在于利用重入问题和Vault的rebase机制,并通过调用外部合约来获取巨额收益分配。慢雾安全团队建议在处理传入资产时进行检查,对未在白名单内的资产进行回滚,并使用防重入锁以避免重入攻击。

猜你喜欢

关注我们

微信二维码

微信