据报道,1月17日Fairyproof检测,BSC上的 OMNI Real Estate Token (ORT) 项⽬攻击的原因被怀疑是合同代码存在漏洞。 攻击者地址为:0x9BbD94506398a1459F0Cd3B2638512627390255e,其中⼀攻击合同为 0x0eFfECA3dBCBcda4d5e4515829b0d42181700606攻击初始gas来源 FixedFloat攻击者获利超过236个热
钱包BNB,价值约70705美元。 漏洞合同是项目⽬的 StakingPool
合约,在 _Check_reward 函数中,当 durations 0时,如果条件判断没有覆盖,将返回⼀最后一个全局变量值(预期外值),导致奖励计算错误。 攻击者调⽤invest函数时, end_date 输⼊为0,此时合同未经验证⽤户输⼊,因此,合同可以继续运输⾏, duration[msg.sender] = 0 ,⽽在 _Check_reward 函数中没有验证 durations 的值,并且在 _Check_reward 函数中使⽤参与计算的全局变量导致了多种因素⼀奖励值错误。
