近期,一名黑客利用Polygon平台上的一个旧版版税合约,盗取了价值约261,200美元的加密货币。安全公司TenArmorAlert于6月23日发现了这笔异常交易并追踪到了此次利用交易。
区块链记录显示,黑客通过Polygon区块89,018,051的交易发起了攻击。据TenArmorAlert称,尽管初始金额相对较低,但黑客设法提取了大约263,800美元。这次攻击是针对旧版版税计划,而非Polygon区块链的基础结构。
奖励计算中的误算导致超额提取
据TenArmorAlert称,此次攻击之所以能够得逞,是由于奖励计算机制和奖励核算存在问题。安全公司CertiK发现被利用合约中的Royal1155LD.beforeLdaTransfer()函数存在一个缺陷。
研究人员指出,攻击者进行了几笔零值交易,操纵了奖励计算和所有权数量。此漏洞使得攻击者能够在特定条件下提高代币余额。
Defimon Alerts也提供了DecurityHQ的其他研究。专家们在此案例中得出结论,版税计算错误导致了此次利用。这种方式,错误的所有权数量允许了超额领取奖励。此外,攻击者还使用了闪电贷来利用此合约。在偿还借款后,攻击者将剩余资金作为利润收入囊中。
仍然面临安全威胁
最近这次攻击发生在对去中心化金融项目旧版本以及休眠智能合约部署的类似攻击频发的背景下。攻击者近期还利用了Huma Finance的一些旧合约,盗取了大约101,400美元。
研究人员一直警告开发者,拥有存有可用资金的旧版智能合约存在潜在危险。团队应审计、更新、停用或完全移除旧部署,以减轻任何潜在攻击的风险。Polygon开发者已确认,攻击者未能威胁到主区块链网络的安全。
加密新闻聚焦:
SecondFi漏洞暴露钱包密钥,使超过2000万美元的Cardano资产面临风险
