08月01日,星期二 01:14
据慢雾安全团队情报,2023 年 8 月 1 日,Base 链上的去中心化交易平台 LeetSwap 遭到攻击,攻击者获利约 62.4 万美金。慢雾安全团队以简讯的形式分享如下: 本次被攻击的主要原因是在 Pair 合约中,_transferFeesSupportingTaxTokens 函数外部可调用,该函数可以转移合约中的任意数量的指定代币到收取手续费的地址。于是攻击者首先进行一次正常的小额swap操作以获取下一次swap时所需的代币,紧接着调用 _transferFeesSupportingTaxTokens 函数将 Pair 中的其中一方代币几乎全部转移给了收取手续费的地址,从而使得 Pair 的流动性失衡。最后再调用 sync 函数平衡池子后反向 swap 套取超出预期的 ETH。 攻击者地址:0x5B030F90db67190373dbF3422436df4C62f60a60 攻击交易: https://basescan.org/tx/0xbb837d417b76dd237b4418e1695a50941a69259a1c4dee561ea57d982b9f10ec