PANews 8月8日消息,据慢雾区消息,BSC上的EGD Finance项目遭受黑客攻击,导致其池子中资金被非预期的取出。慢雾安全团队对此进行了分析,称本次事件是因为EGD Finance的合约获取奖励时计算奖励的喂价机制过于简单, 导致代币价格被闪电贷操控从而获利。具体分析如下:
1. 由于EGD Finance合约中获取奖励的claimAllReward函数在计算奖励时会调用 getEGDPrice 函数来进行计算EGD的价格, 而getEGDPrice函数在计算时仅通过 pair 里的 EGD 和 USDT 的余额进行相除来计算EGD的价格。2. 攻击者利用这个点先闪电贷借出池子里大量的USDT, 使得EGD代币的价格通过计算后变的很小, 因此在调用claimAllReward函数获取奖励的时候会导致奖励被计算的更多, 从而导致池子中的EGD代币被非预期取出。
此外,据派盾预警监测,此次攻击事件中已有3.6万BUSD被盗。