资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
去中心化交易所Bancor Network遭遇安全漏洞
周三晚,去中心化交易所(DEX)协议Bancor Network遭遇了一个安全漏洞,可能造成约455,349美元的用户资金损失。不过,Bancor很快发现了该问题,并将资金转移到了一个安全的钱包中。
漏洞详情
具体来说,Bancor最近部署的智能合约中存在一个漏洞,这些合约是两天前才上线的。因此,过去48小时内与该交易所协议交互的所有用户都受到了影响。
Bancor在其官方Telegram频道中表示:“由于在v0.6合约中发现的漏洞,如果您在过去48小时内与Bancor合约进行过交易,请访问https://approved.zone/并撤销受影响的Bancor合约地址的任何授权。”
DEX聚合器1inch.exchange的首席技术官Anton Bukov告诉The Block,该漏洞是“关键性的”。他解释说,智能合约中有一个公共方法,允许任何人使用“无限授权”来窃取用户资金。“无限授权”是ERC-20的一项功能,允许某人捕获另一个钱包的代币。
漏洞原因
事实上,Bancor在今天早些时候的详细博客文章中提到,v0.6合约“错误地将BancorNetwork合约中的safeTransferFrom函数设置为公开”。
文章补充道:“像Bancor这样的交易所智能合约通常使用授权与用户钱包进行交互。这是大多数DAPP的常见做法。但在这个案例中,一个本应仅限于合约本身的私有函数被公开化了。这实际上允许任何人转移仅授权给合约的代币。”
应对措施
Bancor保证,由于启动了白帽攻击并将价值455,349美元的资金转移到了安全钱包中,用户资金没有受到该漏洞的风险。
文章还提到:“随后,我们推送了一个新的网络合约,以确保此类错误不会再次发生。系统内的交易现已恢复正常。”
套利机器人的介入
尽管Bancor发起了白帽行动,但两个套利机器人检测到了即将发生的交易,并抢在Bancor之前获利135,229美元。Bancor表示,它正在与这些机器人的所有者联系,并努力与他们合作,以换取漏洞赏金的方式返还这些金额。
Bukov告诉The Block,这两个机器人或自动抢跑者的邮箱分别是arden43y@gmail.com和0x9799b475dec92bd99bbdd943013325c36157f383@riseup.net。目前尚不清楚这些机器人是否会向Bancor返还资金。
历史漏洞
这并不是Bancor第一次遭遇漏洞。2018年,它曾被黑客攻击,损失了价值1350万美元的资金,这些资金存放在多个转换器合约中。当时,它最初损失了2350万美元,但挽回了约1000万美元,最终净损失为1350万美元。
更正:Bancor告诉The Block,它并未在2019年遭遇黑客攻击,如之前所述。
