(相關(guān)資料圖)

1月17日消息，據(jù)Fairyproof監(jiān)測(cè)，BSC上的 OMNI Real Estate Token (ORT) 項(xiàng)?遭受攻擊，攻擊原因疑似為合約代碼有漏洞。 攻擊者地址為：0x9BbD94506398a1459F0Cd3B2638512627390255e，其中?個(gè)攻擊合約為 0x0eFfECA3dBCBcda4d5e4515829b0d42181700606，攻擊初始gas來(lái)源 FixedFloat熱錢包，攻擊者獲利超過(guò)236個(gè)BNB，價(jià)值約70705美元。 漏洞合約為項(xiàng)?的 StakingPool合約，在 _Check_reward 函數(shù)中，當(dāng) durations 為0時(shí)，條件判斷沒(méi)有覆蓋，會(huì)返回?個(gè)上次的全局變量值（預(yù)期外的值），造成獎(jiǎng)勵(lì)計(jì)算錯(cuò)誤。 攻擊者調(diào)?invest函數(shù)時(shí)， end_date 輸?為0，此時(shí)合約未驗(yàn)證?戶輸?，因此合約可以繼續(xù)運(yùn)?， duration[msg.sender] = 0 ,?在 _Check_reward 函數(shù)中也未驗(yàn)證 durations 的值，并且在 _Check_reward 函數(shù)中使?了全局變量來(lái)參與計(jì)算，多重因素造成了?錯(cuò)誤的獎(jiǎng)勵(lì)值。

關(guān)鍵詞：