SafeMoon ‘burn’合约漏洞带来8900万美元损失。 

‘burn’攻击事件

流动性池(LIQUIDITY POOL)是一池被锁在智能合约内的代币，借由提供流动性来促进交易。流动性池会被去中心化交易平台(DEX)所运用。SafeMoon协议是一种去中心化金融(Defi) 代币。根据SafeMoon官网信息，每次进行交易时,SafeMoon 皆会执行三项功能:反映(Reflection)、获得流动性提供者(Liquidity Provider) 与销毁。

3月29日，SafeMoon CEO John Karony发推确认3月28日SafeMoon token流动性池遭受网络攻击。黑客利用利用新创建的burn智能合约功能从流动性池中窃取了890万美元的token。Burn智能合约允许参与者以更高的价格出售SafeMoon币。

SafeMoon CEO 称，攻击影响SFM:BNB流动性池但不影响平台的功能，并且用户的token是安全的。

漏洞利用细节

区块链安全专家PeckShield 也在推特上分享了关于SafeMoon burn漏洞的细节。PeckShield称，SafeMoon最近的升级引入了一个销毁token的新的智能合约。但是该功能被错误地设置为公开且无任何限制，因此任何人都可以执行该合约。Karony称该合约最早设计是用于紧急用途，比如流动性池面临恶意智能合约的风险、过量的贬值、以及其他瞬间损失。

黑客发现该漏洞后利用该合约销毁了大量的SafeMoon token，使得SafeMoon token的价格暴涨。价格暴涨后，另一个地址以高价出售了SafeMoon，从SafeMoon:WBNB流动性池中获利890万美元。

图 burn漏洞（PeckShield）

攻击事件后续

攻击发生几小时后，将SafeMoon转化为BNB的用户称其并非是攻击事件的发起者，只是意外进行了提前交易，并将向SafeMoon返回窃取的资金。随后，该用户将4000BNB转到了另一个地址，价值约126.44万美元。目前尚不清楚该钱包的所有者是否属于利用burn漏洞的攻击者。

本文翻译自：https://www.bleepingcomputer.com/news/cryptocurrency/safemoon-burn-bug-abused-to-drain-89-million-from-liquidity-pool/如若转载，请注明原文地址 - 4HOU.COM