CoinVoice最新获悉:针对币安智能链项目 Uranium 损失 5000 万美元的疑似被黑事件,慢雾安全团队在研究后表示,此次问题发生在 Uranium 项目的 pair 合约上,该合约的 swap 函数部分逻辑参考了 PancakeSwap 的逻辑,允许用户进行闪电贷借出资金,是该函数在根据恒定乘积公式检查合约余额时,存在精度处理错误的问题,导致最后合约中计算出的余额比合约实际的余额大 100 倍,这种情况下,如果攻击者使用闪电贷进行借款,只需要归还借贷金额的 1% 即可通过检查,盗走剩余的 99% 的余额,导致项目损失。
CoinVoice最新获悉:针对币安智能链项目 Uranium 损失 5000 万美元的疑似被黑事件,慢雾安全团队在研究后表示,此次问题发生在 Uranium 项目的 pair 合约上,该合约的 swap 函数部分逻辑参考了 PancakeSwap 的逻辑,允许用户进行闪电贷借出资金,是该函数在根据恒定乘积公式检查合约余额时,存在精度处理错误的问题,导致最后合约中计算出的余额比合约实际的余额大 100 倍,这种情况下,如果攻击者使用闪电贷进行借款,只需要归还借贷金额的 1% 即可通过检查,盗走剩余的 99% 的余额,导致项目损失。