Bancor 智能合约曝严重漏洞，超 50 万美元资金已被安全转移

北京时间 6 月 18 日消息，去中心化交易所协议 Bancor 被曝出现严重漏洞，此后 Bancor 官方和多位白帽黑客利用该漏洞，将用户的资金转移到了新的地址，目前涉及到的资金超过了 50 万美元，据 1inch 创始人 Anton Bukov 分析称，目前相关的资金似乎安全的，但其提醒称，近期使用过 Bancor 协议的用户，都应该撤销他们的活动批准。而这起事件，再次反应出了智能合约安全审计的重要性。

以下是译文：

最近部署的 Bancor 网络智能合约当中存在着一个严重的漏洞，这导致所有直接使用 Bancor 网络交换 ERC20 资产的人，通常会将其代币无限次批准给这些智能合约之一，而这涉及到一种公开的方法，允许任何人使用这些批准来窃取用户资金。用户即便是把钱存放在自己的钱包当中，仍然是不安全的，应该先通过 approved.zone 撤销无限批准，以免受到潜在的攻击。

似乎 Bancor 团队或白帽黑客发现了这个问题，并开始从用户钱包中抽走资金。随后，两名其他的参与者加入了进来，和 Bancor 团队一起转移用户钱包的资金，所有参与者都提供了联系信息，并可能同意退还被盗的资金。

我们用 DuneAnalytics.com 分析了所有的智能合约调用：

https://explore.duneanalytics.com/queries/4761/source

存在漏洞的智能合约：

1. 0x8dfeb86c7c962577ded19ab2050ac78654fea9f7

2. 0x5f58058C0eC971492166763c8C22632B583F667f

Bancor 团队的钱包：

1. 0xc8021b971e69e60c5deede19528b33dcd52cdbd8

2. 0x14fa61fd261ab950b9ce07685180a9555ab5d665

竞跑者的钱包：

1. 0x052ede4c2a04670be329db369c4563283391a3ea

2. 0x1ad1099487b11879e6116ca1ceee486d1efa7b00

3. 0x854b21385544c44121f912aedf4419335004f8ec

Bancor 团队总共救出了 409656 美元，消耗的 gas 费是 3.94 ETH，而自动竞跑者转移的资金为 135229 美元，消耗的 gas 费是 1.92 ETH。用户被转移的资金共计 544885 美元。

事情的经过

Bancor 团队在 UTC 时间 6 月 18 日 03:06 开始利用漏洞，使用临时智能合约

（0xDBA3739B4A29594FD3C89881CAFFA1862CE4BD630ED5F849B9F22707332E59E）生成批处理交易，他们共执行了 62 笔交易，提取了 409656 美元。

自动竞跑者 (邮箱：arden43y@gmail.com) 几乎在同一分钟内加入，并成功在 Bancor 团队之前完成交易（0xdba03739b4a29594fd3c89881caffa1862ce4bd630ed5f849b9f22707332e59e），他们共完成了 16 笔交易，总共转移了 131,889.34 美元。

又一个竞跑者

(0x9799b475dec92bd99bbdd943013325c36157f383@riseup.net) 于 UTC 时间 6 月 18 日 03:09 加入转币活动，并成功完成了 3 笔交易，总共转移 3340 美元。

1. 0x03dbfdc1c043afbc24537bb12a9ead5779b242da26e9acdf00e7cc967e3b9d81 — $820

2. 0xc07cfb0ad175bdb0c23b53e4fe8c8a61924d45760d0214c976dd84c656d7774b — $390

3. 0xf17e0025cfa680a1bd3e5c41ef44bf8d716724e0b626ba658b111451bf0e0815 — $630

4. 0xe1c94a9af2d5685a1bee89b40d3e7f8e047b9d6a6ef8fc1075e956afd793ef45 — $1500

Bancor 团队几乎每分钟都会和两位竞跑者一起获取用户资金，直到 UTC 时间 6 月 18 日 06:56。

在 UTC 时间 6 月 18 日 05:54，另一个 Bancor 团队钱包加入了进来：

0x14fa61fd261ab950b9ce07685180a9555ab5d665。

通过安全审计公司对合约进行多次安全审计是很重要的，我们建议项目方雇用白帽黑客对合约进行渗透测试，以避免这种情况。

我们希望所有的竞跑者都能将用户资金返还给 Bancor 团队，后者会将资金偿还给受害者。

End

扫码关注~

你就是圈子里的 DeFi 大咖！

DeFi 之道公众号后台

回复“财富”获取 DeFi 热门项目白皮书合集 !

回复“研究”获取 DeFi 研究报告合集！

回复“论文”获取 DeFi 相关论文合集！

干货持续更新中，敬请关注……