BlockSec:BSC鏈MT代幣買入限制機制存在缺陷,黑客套利約24.2萬美元
事件概要
據BlockSec監測,其系統在BSC鏈上檢測到一筆針對MT-WBNB資金池的可疑交易,預估損失約24.2萬美元。該事件源於買方限制機制存在缺陷,導致攻擊者得以繞過限制並實施套利。
攻擊手法分析
攻擊者通過以下步驟實施攻擊:
- 利用路由器/交易對被列入白名單的漏洞,繞過買方限制,通過路由器互換和流動性移除獲取MT代幣。
- 將MT代幣出售以積累pendingBurnAmount,並調用distributeFees()函數直接從交易對中銷燬MT,人為拉高價格。
- 隨後將MT代幣兌換回WBNB,完成獲利。
機制漏洞說明
存在一條允許前0.2 MT代幣轉賬繞過買家限制的推薦規則,使攻擊者能夠啟動攻擊,進一步加劇了系統安全風險。