几周前,利用赤字从 PancakeSwap 彩票矿池中抽走了 180 万美元。
币安智能链(BSC)继续看到一些基于它的项目的此类黑客事件。 最新的 PancakeSwap (CAKE)被黑 是由可以访问 PancakeSwap 管理地址的人完成的。
PancakeSwap (CAKE) 滥用
智能合约的一个古老问题:随机性,鲁棒性没有固有的随机函数,所有的随机性来源都必须在链上。
项目使用区块头、交易哈希等来生成合法的随机源,但它们都不是真正的随机——它们不仅仅是伪随机。
这个问题在过去已经产生了漏洞利用,例如最近的 Meebits 漏洞利用。 PancakeSwap 彩票号码是根据某些可预测的条件生成的。 开发者可以使用此信息来预测数字,从而清空整个矿池。
谁破解了 PancakeSwap (CAKE) 以及为什么?
PancakeSwap 提供了管理员滥用行为的详细证据证明,滥用行为被“发现”并使用其自己的地址收钱。
虽然管理员帐户确实使用了漏洞并耗尽了资金,但作者有一个错误:它没有犯规,资金没有被盗。 虽然 PancakeSwap 团队没有就此事发表官方声明,但这次事件显然是白帽从合约中移除资金,防止恶意行为者发现错误并加以利用。
这首先从 PancakeSwap 管理员使用他们已知的公共地址来提交漏洞这一事实中很明显。
如果他们想恶意抽走这笔钱,他们会使用匿名账户。 其次,从彩票矿池中回收的资金由管理员地址批量销毁。
虽然漏洞利用是可怕的,从来都不是一个好兆头,但团队对它的处理灌输了一些信心,证明 PancakeSwap 愿意在必要时解决问题(即使他们通过窃取用户资金而采取了道德上应受谴责的道路)。
内容搜集自网络,整理者:BTCover,如若侵权请联系站长,会尽快删除。
