tiêu đề phụ

Vào ngày 23 tháng 6 năm 2021, Nerve Finance, một nền tảng giao dịch stablecoin dựa trên Binance Smart Chain (BSC), đã tweet rằng nhóm thông minh liên quan đến Nerve trong công cụ tổng hợp thu nhập Eleven Finance có thể bị tấn công bởi các khoản vay chớp nhoáng. Phân tích.

tiêu đề phụ

quá trình

https://bscscan.com/tx/0x6450d8f4db09972853e948bee44f2cb54b9df786dace774106cd28820e906789

Liên kết giao dịch:

1. Trước tiên, kẻ tấn công đã vay USDT thông qua các khoản vay nhanh và sau đó chuyển đổi một phần của nó thành mã thông báo NRV, sau đó sử dụng mã thông báo NRV và USDT để thêm thanh khoản trên pancakeswap để lấy mã thông báo LP.

2. Sau khi kẻ tấn công nhận được mã thông báo lp, anh ta gọi mã thông báo NRV sẽ thu hoạch hợp đồng khai thác MasterMind (0x2EBe8CDbCB5fB8564bC45999DAb8DA264E31f24E) và chuyển đổi nó từ nhóm súng máy thành mã thông báo 11NRV, để kẻ tấn công có mã thông báo LP (BUSDT và NRV) và Mã thông báo 11NRV.

3. Sau đó, kẻ tấn công gọi hợp đồng ElevenNeverSellVault (0x27DD6E51BF715cFc0e2fe96Af26fC9DED89e4BE8) để thêm thanh khoản và lấy 11nrv mã thông báo BUSD.

4. Vấn đề là sau khi thêm thanh khoản để nhận mã thông báo, hợp đồng ElevenNeverSellValpult có chức năng hủy khẩn cấp, có thể rút số dư mã thông báo trong hợp đồng, để người dùng có thể rút LP từ hợp đồng khai thác (MasterMind) bằng cách gọi chức năng này cân đối lại.

6. Cuối cùng, kẻ tấn công sẽ nhận được tổng cộng 82W mã thông báo LP hai lần để hủy thanh khoản trong pancakeswap, lấy mã thông báo NRV và BUSDT, sau đó chuyển đổi NRV thành BUSDT để hoàn trả khoản vay chớp nhoáng và hoàn thành kinh doanh chênh lệch giá.

Tóm tắt sự kiện

Tóm tắt sự kiện