PANews 7月1日消息,根据安全公司Fairyproof发布的BiSwap LP迁移池攻击事件简析,BISwap的迁移合约少了两个验证:1.未验证迁移者就是交易发起者,导致任意⼈都可以替别⼈进⾏迁移。2.未验证参数中的两种代币和Pair为真实的,导致攻击者可以伪造token0、token1及Pair的⽅式进⾏攻击。攻击者⾸先通过真实的pair和假的token0,token1,调⽤迁移合约的迁移函数,将⽤户的LP燃烧后的资产留在合约中,⽤户添加的只是两种假代币组成LP池。然后攻击者再通过真实的token0,token1及假的LP,调⽤迁移合约的迁移函数,将第⼀步留在合约中的资产添加为自己的LP。这样通过狸猫换太⼦的方式将⽤户的资产替换成假的LP资产,⽽真实的LP资产添加到了攻击的的LP中。Fairyproof还表示,此次攻击造成约710251美元的损失。

此前今日早些时候消息,BiSwap表示,已检测并解决Migrator合约漏洞,请勿与访问该合约,用户资金安全