【资料图】

SafeMoon ‘ burn ’合约漏洞带来 8900 万美元损失。

‘ burn ’攻击事件

流动性池 ( LIQUIDITY POOL ) 是一池被锁在智能合约内的代币，借由提供流动性来促进交易。流动性池会被去中心化交易平台 ( DEX ) 所运用。SafeMoon 协议是一种去中心化金融 ( Defi ) 代币。根据 SafeMoon 官网信息，每次进行交易时 ,SafeMoon 皆会执行三项功能 : 反映 ( Reflection ) 、获得流动性提供者 ( Liquidity Provider ) 与销毁。

3 月 29 日，SafeMoon CEO John Karony 发推确认 3 月 28 日 SafeMoon token 流动性池遭受网络攻击。黑客利用利用新创建的 burn 智能合约功能从流动性池中窃取了 890 万美元的 token。Burn 智能合约允许参与者以更高的价格出售 SafeMoon 币。

SafeMoon CEO 称，攻击影响 SFM:BNB 流动性池但不影响平台的功能，并且用户的 token 是安全的。

漏洞利用细节

区块链安全专家 PeckShield 也在推特上分享了关于 SafeMoon burn 漏洞的细节。PeckShield 称，SafeMoon 最近的升级引入了一个销毁 token 的新的智能合约。但是该功能被错误地设置为公开且无任何限制，因此任何人都可以执行该合约。Karony 称该合约最早设计是用于紧急用途，比如流动性池面临恶意智能合约的风险、过量的贬值、以及其他瞬间损失。

黑客发现该漏洞后利用该合约销毁了大量的 SafeMoon token，使得 SafeMoon token 的价格暴涨。价格暴涨后，另一个地址以高价出售了 SafeMoon，从 SafeMoon:WBNB 流动性池中获利 890 万美元。

图 burn 漏洞（PeckShield）

攻击事件后续

攻击发生几小时后，将 SafeMoon 转化为 BNB 的用户称其并非是攻击事件的发起者，只是意外进行了提前交易，并将向 SafeMoon 返回窃取的资金。随后，该用户将 4000BNB 转到了另一个地址，价值约 126.44 万美元。目前尚不清楚该钱包的所有者是否属于利用 burn 漏洞的攻击者。

关键词：