「ForesightNews」ForesightNews根据
区块链安全审计公司的消息Beosin旗下BeosinEagleEye平台监控显示安全风险监控、预警和阻断,BNBChain上的sDAO该项目遭受漏洞攻击。Beosin分析发现sDAO合同的业务逻辑是错误的,getReward函数是根据合同拥有的LP添加代币和用户LP代币作为参数计算,用户添加计算奖励LP代币数量与合同总数正相关LP代币数量负相关,但合同提供了一个withdrawTeam的方法,可以拥有合同BNB任何人都可以调用指定代币发送到合同指定地址。攻击者被添加到其中LP代币后,调用withdrawTeam函数将LP所有的代币都发送到指定的地址,并立即转移到合同的极小数量LP攻击者随后调用代币getReward获得奖励时,使用的合同总是有的LP代币数量是一个极小的值,使奖励异常放大。最终攻击者通过这个漏洞获利约1362枚BUSD。
