Beosin: Hợp đồng AurumNodePool bị tấn công vì hàm changeRewardPerNode chưa được xác minh

Theo giám sát rủi ro bảo mật Beosin EagleEye, cảnh báo sớm và giám sát nền tảng chặn của công ty kiểm toán bảo mật chuỗi khối Beosin, vào ngày 23 tháng 11 năm 2022, hợp đồng AurumNodePool đã bị tấn công bởi một lỗ hổng. Phân tích của Beosin nhận thấy rằng vì chức năng changeRewardPerNode của hợp đồng dễ bị tấn công không được xác minh nên kẻ tấn công có thể gọi chức năng này để đặt bất kỳ giá trị nào. Trước tiên, kẻ tấn công gọi hàm changeRewardPerNode để đặt giá trị phần thưởng hàng ngày thành một số rất lớn, sau đó gọi hàm khiếu nạiNodeReward để trích xuất phần thưởng nút và việc tính toán phần thưởng nút phụ thuộc vào giá trị bonusPerDay do kẻ tấn công đặt, dẫn đến kết quả là phần thưởng nút được tính toán rất cao. Trước giao dịch này, kẻ tấn công đã gửi 1000 AUR vào hợp đồng thông qua một giao dịch (0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d), giao dịch này đã tạo ra bản ghi nút của kẻ tấn công, cho phép kẻ tấn công trích xuất phần thưởng nút. Cuối cùng, kẻ tấn công đã lấy được khoảng 50 BNB (khoảng $14,538,04) thông qua lỗ hổng này.