PANews는 9월 17일 BlockSec Phalcon이 몇 시간 전 비트코인 캐시(BSC)의 미확인 계약(0x93fD192e1CD288F1f5eE0A019429B015016061F9)을 표적으로 하는 일련의 의심스러운 거래를 감지하여 시스템에 경고했다고 보도했습니다. 이로 인해 약 15만 달러의 손실이 발생했습니다. 이 문제는 해당 계약의 추천 보상 설계에서 비롯되었습니다. 보상 계산은 BURN/BUSD 거래 쌍의 조작 가능한 현물 가격을 기반으로 이루어졌습니다.
공격 세부 정보:
- 사용자가 추천을 통해 BURN 토큰을 스테이킹하거나 잠금하면, 컨트랙트는 사용자에게 BUSD 형태의 추천 보상을 지급합니다. 이 보상은 스테이킹/잠금된 BURN 수량과 BURN/BUSD의 실시간 현물 가격을 기반으로 계산됩니다.
- 공격자는 이 취약점을 악용하여 플래시 대출을 통해 BURN의 가격을 조작했습니다. 그런 다음 두 가지 주요 제한 사항, 즉 "주소당 추천인 한 명" 규칙과 최대 투자 한도를 우회하기 위해 새로운 계약을 반복적으로 생성하여 인위적으로 부풀려진 BUSD 보상을 누적했습니다.
- 공격자는 빌린 BURN 토큰을 팔고 BUSD를 다시 매수하여 BURN의 가격을 하락시켰습니다. 마지막으로, 공격자는 이전에 축적한 BUSD를 사용하여 낮은 가격에 BURN을 매수하여 이 거래에서 이익을 얻으려 했습니다.
