PANewsは9月17日、BlockSec Phalconが数時間前にビットコインキャッシュ（BSC）上の未検証コントラクト（0x93fD192e1CD288F1f5eE0A019429B015016061F9）を標的とした一連の不審なトランザクションを検知し、システムに警告を発したと報じました。この結果、約15万ドルの損失が発生しました。この問題は、コントラクトの紹介報酬の設計に起因しており、報酬の計算はBURN/BUSD取引ペアの操作可能なスポット価格に依存していました。

攻撃の詳細:

• ユーザーが紹介を通じてBURNトークンをステークまたはロックすると、コントラクトはBUSDの形で紹介報酬をユーザーに発行します。この報酬は、ステーク/ロックされたBURNの量とBURN/BUSDのリアルタイムスポット価格に基づいて計算されます。
• 攻撃者はこの脆弱性を悪用し、フラッシュローンを通じてBURNの価格を操作しました。その後、攻撃者は繰り返し新しいコントラクトを作成し、「アドレスごとに1つの紹介」ルールと最大投資額という2つの重要な制限を回避し、人為的に水増しされたBUSD報酬を蓄積しました。
• 攻撃者はその後、借りていた残りのBURNトークンを売却し、BUSDを再購入することでBURNの価格を下落させました。最終的に、攻撃者は以前に蓄積していたBUSDを使ってこの低価格でBURNを購入し、取引から利益を得ようとしました。