Cty bảo mật: Giao dịch nghi trên BSC bên không ký hợp đồng mất 150KUSD

Mục lục

Một hợp đồng chưa được xác minh trên BSC bị khai thác do thiết kế thưởng giới thiệu phụ thuộc vào giá giao ngay cặp BURN/BUSD, dẫn tới thiệt hại khoảng USD 150.000.

Kẻ tấn công lợi dụng flash loan để thao túng giá BURN, tạo nhiều hợp đồng mới né giới hạn “một giới thiệu mỗi địa chỉ” và giới hạn đầu tư, tích lũy BUSD thưởng bị thổi phồng rồi chốt lời bằng cách bán và mua lại Token ở giá thấp hơn.

NỘI DUNG CHÍNH

Lỗ hổng: phần thưởng giới thiệu dựa trên giá giao ngay có thể bị thao túng.
Phương thức tấn công: thao túng giá bằng flash loan, tạo hợp đồng mới để vượt giới hạn.
Hậu quả & khuyến nghị: mất khoảng USD 150.000; cần dùng oracle an toàn và kiểm soát rủi ro.

Tổng quan vụ khai thác

Sự cố xảy ra khi cơ chế thưởng giới thiệu của hợp đồng tính thưởng BUSD dựa trên giá giao ngay BURN/BUSD, cho phép lợi dụng dao động giá ngắn hạn để thổi phồng khoản thưởng.

Xem thêm: Công ty Fundamental Global sửa điều lệ đổi tên, tăng cổ phiếu niêm yết

Kết quả là kẻ tấn công thu về số BUSD lớn hơn giá trị thực nhờ thao túng giá và vượt các hạn chế qua việc tạo nhiều hợp đồng mới, khiến dự án mất khoảng USD 150.000.

Cách thức tấn công chi tiết

Kẻ tấn công dùng flash loan để mua lượng lớn BURN, đẩy giá lên tạm thời, sau đó stake/lock thông qua cơ chế giới thiệu để nhận BUSD tính theo giá cao bị thao túng.

Họ lặp lại hành vi bằng cách tạo hợp đồng/địa chỉ mới để né quy tắc “một giới thiệu mỗi địa chỉ” và giới hạn đầu tư. Sau khi thu BUSD, họ bán BURN để hạ giá, rồi dùng BUSD mua lại BURN rẻ để hoàn tất vòng lợi nhuận.

Biện pháp phòng ngừa cho dự án

Không dùng giá giao ngay trực tiếp làm tham chiếu thưởng; thay vào đó áp dụng oracle đáng tin cậy, trung bình giá theo thời gian hoặc cơ chế chống thao túng.

Thêm các kiểm soát: giới hạn tổng phần thưởng, xác minh địa chỉ, đánh giá chống thao túng giao dịch (MEV/flash loan) và kiểm toán hợp đồng bởi bên thứ 3 uy tín trước khi triển khai.

Xem thêm: Công ty Binance ra mắt chương trình hoàn tiền cho ví web